Domänencontroller - LDAPS via TLS1.2

Mitglied: Philipp711

Philipp711 (Level 2) - Jetzt verbinden

10.06.2021, aktualisiert 15:27 Uhr, 833 Aufrufe, 8 Kommentare

Hallo Leute,

ich habe ein kleines Verbindungsproblem zwischen einer Java-Anwendung (java11) und unserem Domänencontroller.

Ich erhalte folgenden Fehler:


Per Openssl habe ich mal die Verbindung geckeckt um nachzusehen, welches Protokoll/Cipher denn vom Server angeboten wird:
serverconnection - Klicke auf das Bild, um es zu vergrößern

Parallel dazu habe per Wireshark den TLS-Client-Hello aufgezeichnet, um zu sehen welche Protokoll/Chipers denn vom Client so angefragt werden:
client_hello - Klicke auf das Bild, um es zu vergrößern

M.E. müssten die jeweils angebotenen Ciphers doch übereinsimmen...TLS-ECDHE_RSA-WITH_AES_256_CBC_SHA384 (IANA) ist doch das gleiche wie ECDHE-RSA-AES-SHA384 und dementsprechend müsste die Verbindung doch zustande kommen?!

Standardmäßig ist TLS1.0 und TLS1.1 in Java deaktiviert. Wenn ich nun in der Security-Config TLS1.1 aktiviere, funktioniert die Verbindung...Irgendwie liegt es definitiv an der Verbindung mit über TLS1.2.

Ich stehe jetzt etwas auf dem Schlauch, da ich nicht so genau weiter weiß wie ich das weiterführend Troubleshooten kann...Kann ich die Funktionalität von LDAPs auf unserem DC über TLS1.2 nochmals gegenchecken?

Dankeschön!
Mitglied: lcer00
10.06.2021 um 15:46 Uhr
Hallo,

vertraut der Client über den öffentlichen Schlüssel der Domänencertifizierungsstelle?

Grüße

lcer
Bitte warten ..
Mitglied: Philipp711
10.06.2021 um 16:40 Uhr
Zitat von @lcer00:

Hallo,

vertraut der Client über den öffentlichen Schlüssel der Domänencertifizierungsstelle?

Grüße

lcer

Jap, habe das CA-Cert per keytool Java bekannt gemacht..
Bitte warten ..
Mitglied: lcer00
10.06.2021 um 17:59 Uhr
Hallo,

Dann wäre die Frage, ob der DC damit auch arbeitet. https://docs.microsoft.com/de-de/mem/configmgr/core/plan-design/security ...

Grüße

lcer
Bitte warten ..
Mitglied: Philipp711
10.06.2021, aktualisiert um 19:27 Uhr
Zitat von @lcer00:

Hallo,

Dann wäre die Frage, ob der DC damit auch arbeitet. https://docs.microsoft.com/de-de/mem/configmgr/core/plan-design/security ...

Grüße

lcer

Naja, wie im Screenshot im Anfangspost gezeigt baut openssl ja erfolgreich eine Verbindung über TLS 1.2 auf. Auch nmap mit tls-enum-script schmeißt TLS1.2 mit diversen cipher-suites als Verfügbar aus. TLS 1.2 ist demnach auf den DCs aktiviert und laut MS-Doku auch Standardmäßig an.

Da TLS 1.1 ja im gleichen Setup funktioniert, gehe ich mal von einer korrekt Konfiguration im Sinne von Vertrauenstellungen, vertauenswürdige CA, Ports, Namensauflösung, Credentials etc. aus.

Aus der nmap-Ausgabe ist außerdem ersichtlich, dass die vom Server angebotenen Cipher-Suites nahezu Deckungsgleich mit den angefragten Ciphern aus dem Wireshark-Trace sind.

Irgendwie wollen sich die beiden Parteien nicht auf TLS1.2 einigen...
Bitte warten ..
Mitglied: Dani
LÖSUNG 10.06.2021 um 20:52 Uhr
Moin,
ist der Screenshot von Wireshark beim Verbindungstest mit Java oder OpenSSL?
Gibt es in der Java Anwendung eine Datei ./lib/security/java.security und was steht dort drin?

M.E. müssten die jeweils angebotenen Ciphers doch übereinsimmen...TLS-ECDHE_RSA-WITH_AES_256_CBC_SHA384 (IANA) ist doch das gleiche wie ECDHE-RSA-AES-SHA384.
Richtig, ist das Gleich. Letzteres ist die "Übersetzung" in OpenSSL.

und dementsprechend müsste die Verbindung doch zustande kommen?!
Ja. Dein Screenshot von OpenSSL zeigt dies auch - Handshakre, Verify - beides okay.

Ich stehe jetzt etwas auf dem Schlauch, da ich nicht so genau weiter weiß wie ich das weiterführend Troubleshooten kann...
Debugging Utilities


Gruß,
Dani
Bitte warten ..
Mitglied: Philipp711
10.06.2021, aktualisiert um 21:46 Uhr
Zitat von @Dani:

Moin,
ist der Screenshot von Wireshark beim Verbindungstest mit Java oder OpenSSL?

Mit Java...

Gibt es in der Java Anwendung eine Datei ./lib/security/java.security und was steht dort drin?


Jop, gibt es. Über diese Datei aktivieren ich dann auch den TLS 1.1 Support (habs nicht genau im Kopf aber der Eintrag hieß glaube "disabledtlsprotocols" oder so).

Brauchst du den kompletten Inhalt? :-D face-big-smile


Danke!
Bitte warten ..
Mitglied: Dani
10.06.2021 um 23:29 Uhr
Moin,
Brauchst du den kompletten Inhalt? :-D face-big-smile face-big-smile
Ne, es reicht der Abschnitt bezüglich SSL/TLS und Cipher (Suites).


Gruß,
Dani
Bitte warten ..
Mitglied: Philipp711
11.06.2021 um 12:46 Uhr
Habe den Fehler mittlerweile gefunden.

Als Ausgangspunkt des Problems habe ich bei der Applikation ein Update eingespielt. Die Applikation nutzt Java als "Unterbau". In der Java-Konfig war TLS1.1 und TLS1.0 explizit als disabled deklariert (zurecht). Allerdings hat die Applikation auch noch eigene Konfig-Files die durch das Update (warum auch immer) nicht aktualisiert wurden. In dieser Konfig stand explizit drin, dass nur TLS1.1 für LDAPs genutzt werden soll. Der "Spaß" hat sich also gegenseitig Ausgeschlossen...ziemlich dämlich!

Vielen Dank für die Hilfe!
Bitte warten ..
Heiß diskutierte Inhalte
Backup
Backupstrategie
Xaero1982Vor 1 TagFrageBackup37 Kommentare

Nabend Zusammen, wir bekommen es ja leider alle immer wieder mal mit, dass es auch große Firmen gibt, die von irgendwelchen Verschlüsselungstrojanern verseucht werden. ...

LAN, WAN, Wireless
MikroTik: kaskadisches Core-Netzwerk CCR-CRS-CRS mit Satelliten-Swichtes+APs - ein Versuch einer Anleitung von A-Z
gelöst PackElendVor 1 TagFrageLAN, WAN, Wireless12 Kommentare

Hallo zusammen, da ich mit der gelieferten Konfiguration meiner MikroTiks nicht so zufrieden bin, fange ich von vorne an. Das liegt daran, dass ich ...

Internet
ARD und ZDF Live Stream
gelöst ben1300Vor 1 TagFrageInternet14 Kommentare

Guten Morgen ! wir haben zwei Samsung Monitore im Einsatz (Modell DM48E), welche via Netzwerk mit unserem MagicInfo Server verbunden sind. Hierdrüber möchte ich ...

Windows 10
Windows 10 Clients werden mit TMP-Ordnern geflutet
kgbornVor 1 TagTippWindows 107 Kommentare

Vielleicht mal nachschauen, ob die Windows 10 Clients oder die Server auch mit leeren TMP-Verzeichnissen im angegebenen Pfad vollgemüllt werden. Hab da unterschiedliche Rückmeldungen ...

LAN, WAN, Wireless
SFP mit SFP+ verbinden
maximum3012Vor 1 TagFrageLAN, WAN, Wireless10 Kommentare

Hallo zusammen, mich würde folgendes interessieren, ist es eigentlich möglich, ein SFP Switch mit einem SFP+ Switch zu verbinden? Es gibt ja die Möglichkeit ...

SAN, NAS, DAS
Hardware oder Software RAID
CrunkFXVor 1 TagFrageSAN, NAS, DAS12 Kommentare

Mahlzeit, Kurz vorab eine Einigung darauf dass es kein Hardware RAID gibt, ich aber trotzdem differenziere zwischen: Software RAID ( reine Software auf einem ...

Router & Routing
Ortsveränderliches Netzwerk einrichten
Daniel82619Vor 1 TagFrageRouter & Routing10 Kommentare

Hallo, ich habe eine Frage zum Thema Netzwerk(e) und Routing. Im angehängten Bild habe ich versucht die Situation etwas darzustellen. Ich habe mehrere Geräte ...

Netzwerke
USB an FritzBox neu starten
mirmichVor 1 TagFrageNetzwerke16 Kommentare

Hallo, ich habe an einer Fritzbox 7360 ein entferntes Netzwerk laufen. Dieses ist per LTE am USB-Port mit dem Internet verbunden. Mein Problem: Ab ...