クライアントアプリケーションでサポートされている暗号スイートがサーバーでサポートされていない

サーバーのWindowsイベントログに次のエラーが表示されます。

TLS 1.0接続要求がリモートクライアントアプリケーションから受信されましたが、クライアントアプリケーションでサポートされている暗号スイートがサーバーでサポートされていません。SSL接続要求が失敗しました。

Windows Server 2003ボックスからWindows 7ボックスのWebサービスに接続しようとすると、

他がサポートする暗号スイートに暗号スイートを追加するにはどうすればよいですか？

（クライアントを修正することは理想的ですが、サーバーソリューションで問題がないことに失敗しました-関連するすべてのボックスにアクセスできます。プライバシーのためにクライアント間の基本的な暗号化が必要です）。

何時間ものグーグルと読書に加えて、私は試しました：

• サーバーウィンドウのイベントビューアを確認しました（暗号スイートエラーが見つかりました）
• http://support.microsoft.com/kb/948963からtest1に暗号スイートを追加しました（助けにはなりませんでした）
• サーバーのWindowsレジストリの暗号スイートのプロトコルにTLS 1.0を追加（変更なし）
• Schannelにプロトコルを追加することを期待してIISツールをインストールします（そうではありません）。
• クライアントの証明書をエクスポートしますが、秘密鍵が含まれています（変更なし）
• インストールされた暗号スイートがサーバーとクライアントで一致することを確認します（win2k3がそれらをリストする場所を見つけることができません）
• TLS_RSA_WITH_AES_256_CBC_SHA（上記の修正プログラムによってインストールされます）をサーバーの暗号スイートに追加します（いいえ、すでにそこにあります）

Windows 7は、暗号を選択するときに新しいCNG（Cryptography Next Generation）APIを使用します。Windows 2003のCNGは、私の知る限り利用できません。

ただし、次のAESベースの暗号スイートをインストールして、Windows 2003で使用できます。

• TLS_RSA_WITH_AES_128_CBC_SHA
• TLS_RSA_WITH_AES_256_CBC_SHA

これらは、Windows VistaおよびWindows 7クライアントがTLS 1.0以降での使用をネゴシエートしようとする最初のスイートであり、OpenSSLクライアントでもサポートされています。

これらを使用するには、KB948963をインストールしてください

解決策は私の証明書を再度生成することでしたが、今回はRSAとSHA1を強制しました（とにかくSHA1がデフォルトです）。何らかの理由で、Win Server 2k3はデフォルトのmakecert証明書で正しい暗号を使用できなかったか、使用できませんでした。これは私のために働いたコマンドラインです：

makecert -pe -r -ss my -sr localMachine -n​​ "CN = domainnameoripaddressgoeshere.com" -e 01/01/2098 -a sha1 -eku 1.3.6.1.5.5.7.3.1 -sky exchange -sp "Microsoft RSA SChannel暗号化プロバイダー」-sy 12

詳細については、http：//mgowen.com/2013/06/19/cipher-suites-issue/およびhttp://msdn.microsoft.com/en-us/library/bfsktky3(v=vs.110).aspxを参照してください。