Во время установки системы управления и мониторинга HP iMC в самой простой конфигурации (для тестовых нужд), на Windows Server 2016, возникла ошибка доступа приложения к СУБД MS SQL 2008 Express, которая шла в комплекте с ПО. Соединение шло с учетной записью sa на localhost. В логе ошибок присутствовала такая запись:
com.microsoft.sqlserver.jdbc.SQLServerException: The driver could not establish a secure connection to SQL Server by using Secure Sockets Layer (SSL) encryption. Error: "java.lang.RuntimeException: Could not generate DH keypair".
...
То есть приложение пыталось установить защищенное SSL соединение, но не смогла "договориться" о первичных DH ключах.
По ответу саппорта, это связано с двумя профилями шифрования (из нескольких десятков):
TLS_DHE_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_RSA_WITH_AES_128_CBC_SHA
Это часть ОС!
для решения вопроса необходимо:
- вызвать оснастку gpedit.msc
- перейти в контейнер Computer Configuration > Administrative Templates > Network > SSL Configuration Settings
- включить настройку SSL Cipher Suite Order = Enable
- перезагрузиться.
После перезагрузки отредактировать в regedit ветки реестра:
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Cryptography\Configuration\SSL\00010002]
убрать из середины профили (см. выше).
во второй ветке
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Policies\Microsoft\Cryptography\Configuration\SSL\00010002]
скорее всего этих профилей уже не будет (симлинки?)
перезагружаемся.
В моем случае эти телодвижения помогли.
com.microsoft.sqlserver.jdbc.SQLServerException: The driver could not establish a secure connection to SQL Server by using Secure Sockets Layer (SSL) encryption. Error: "java.lang.RuntimeException: Could not generate DH keypair".
...
То есть приложение пыталось установить защищенное SSL соединение, но не смогла "договориться" о первичных DH ключах.
По ответу саппорта, это связано с двумя профилями шифрования (из нескольких десятков):
TLS_DHE_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_RSA_WITH_AES_128_CBC_SHA
Это часть ОС!
для решения вопроса необходимо:
- вызвать оснастку gpedit.msc
- перейти в контейнер Computer Configuration > Administrative Templates > Network > SSL Configuration Settings
- включить настройку SSL Cipher Suite Order = Enable
- перезагрузиться.
После перезагрузки отредактировать в regedit ветки реестра:
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Cryptography\Configuration\SSL\00010002]
убрать из середины профили (см. выше).
во второй ветке
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Policies\Microsoft\Cryptography\Configuration\SSL\00010002]
скорее всего этих профилей уже не будет (симлинки?)
перезагружаемся.
В моем случае эти телодвижения помогли.
Комментариев нет:
Отправить комментарий