Как управлять версией TLS, когда служба WebAPI обращается к конфигурации IdentityServer при запуске - PullRequest
0 голосов
/ 31 мая 2018

У меня есть служба аутентификации, построенная на Identity Server 3, и набор сервисов WebAPI, использующих BearerTokenAuthentication.При запуске каждая из служб WebAPI выполняет вызов .well-known / openid-configuration службы аутентификации.Это работало нормально, пока мы недавно не настроили межсетевой экран между службами WebAPI и службой аутентификации, чтобы разрешить трафик только по протоколу TLS 1.2.Теперь все службы WebAPI не запускаются и сообщают, что не могут получить доступ к аутентификации .well-known / openid-configuration, поскольку они «не могут создать безопасный канал SSL / TLS».

Обновление: описанная проблема возникает в моей тестовой среде и устраняется, когда мы модифицируем брандмауэр, чтобы разрешить TLS 1.0.В моей среде разработки и промежуточной среды брандмауэр настроен на использование протокола TLS 1.2, и эта конфигурация , а не , что вызывает вышеуказанные симптомы.Что-то еще другое.Я просто еще не понял, что это такое.

На основании этого последнего обновления у меня возник другой вопрос.Любые предложения о том, что искать в сервере / среде, которые могут привести к тому, что требование TLS 1.2 не будет работать в одной среде при работе в двух других?Я начал изучать параметры реестра, которые контролируют использование сервером протоколов SSL и TLS, но не нашел различий при сравнении рабочего сервера с нерабочим.

Финальное обновление: я так и не понял, что отличалось.Кто-то из системной группы перестроил тестовый сервер, который демонстрировал проблему, путем клонирования промежуточного сервера, который не обнаруживал проблему.Перестроенный сервер прекрасно работает с TLS 1.2.Так что на сервере было явно что-то, а не код.Но это все, что мы знаем.

Добро пожаловать на сайт PullRequest, где вы можете задавать вопросы и получать ответы от других членов сообщества.
...