解決Exchange 2016 Chrome瀏覽器無法登陸OWA以及ECP問題

    很久沒寫博了，其實(shí)也積攢了一些可以寫的東西，準(zhǔn)備陸續(xù)拿出來分享一下，最近遇到一個很奇葩的問題，在Azure上搭了一套Exchange 2016的測試環(huán)境，搭建的過程就不說了，Exchange 2016基本和2013安裝沒什么太大區(qū)別。

    安裝的過程很順利，但是安裝完成之后，偶然間突然發(fā)現(xiàn)一個問題，那就是ECP和OWA在IE瀏覽器登陸一切正常，但是在Chrome上卻發(fā)現(xiàn)ECP和OWA無法正常登陸，提示ERR_SPDY_INADEQUATE_TRANSPORT_SECURITY

    我累個擦這啥玩意，IE能上，chrome卻不能，這個問題確實(shí)有點(diǎn)怪，正常來講，IE既然能連上，chrome應(yīng)該也沒什么問題，這是什么原因呢？

 IE既然可以正常連接，那么問題應(yīng)該就出在chrome身上了，大家都知道google對安全性的重視是非常高的，一般來說在瀏覽器安全方面的一些革新和措施都是google先發(fā)起，然后各家先后跟風(fēng)，比如之前對各種違規(guī)的CA廠商的不再信任的措施，而我用的一般又都是chrome比較新的版本，順著這個思路，準(zhǔn)備嘗試著換一個比較舊的版本來試一下，下載了一個Chrome 42的版本之后，發(fā)現(xiàn)果然就沒再遇到之前的問題

    這樣基本上就可以確認(rèn)是Chrome版本的問題了，很有可能是google又出了什么安全措施，導(dǎo)致了這個問題，之后又google一下報(bào)錯的代碼，果然發(fā)現(xiàn)了不少事情

    原來是Chrome已經(jīng)停止了對很多過時的協(xié)議以及加密算法的支持，這也導(dǎo)致用這些加密算法的連接都不會被chrome接受，比如PCT 1.0 SSL 2.0 SSL 3.0 以及RC2 128/128  RC2 56/128等等

    問題既然確認(rèn)了，那么如何解決呢，首先先安利一些很好用的工具和網(wǎng)站

    1.https://www.ssllabs.com/ssltest/

    這個網(wǎng)站也可以查看網(wǎng)站的證書信息，使用的加密算法，并且還會對其進(jìn)行評級，對于查看這種因?yàn)樗惴ê蛥f(xié)議引起的問題實(shí)在是再好不過了，有興趣的可以試試，以下是測評的一個截圖

    2.TestSSLServer

    這是個本地的小工具，可以看到本地服務(wù)器使用的協(xié)議和算法

    最后問題是怎么解決的，有兩種辦法

    解決辦法之一：禁用以下協(xié)議和加密算法，稍微麻煩點(diǎn)

    MultiProtocol Unified Hello

    PCT 1.0

    SSL 2.0

    SSL 3.0

    preferred via registry like:

    ; Disable PCT 1.0

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server]

    "DisabledByDefault"=dword:00000001

    "Enabled"=dword:00000000

    ; Disable SSL 2.0

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client]

    "DisabledByDefault"=dword:00000001

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]

    "Enabled"=dword:00000000

    ; Disable SSL 3.0

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client]

    "DisabledByDefault"=dword:00000001

    "Enabled"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]

    "DisabledByDefault"=dword:00000001

    "Enabled"=dword:00000000

    and

    NULL Cipher

    DES 56/56

    RC2 (fully)

    RC4 (fully)

    via

    ; Disable weak ciphers

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\DES 56/56]

    "Enabled"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\NULL]

    "Enabled"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 128/128]

    "Enabled"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 40/128]

    "Enabled"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 56/128]

    "Enabled"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 56/56]

    "Enabled"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]

    "Enabled"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]

    "Enabled"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]

    "Enabled"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 64/128]

    "Enabled"=dword:00000000

    解決辦法之二，介紹一個很厲害的小工具，下邊是下載地址，這個工具可以支持一鍵設(shè)置服務(wù)器，自動配置成最佳實(shí)踐的狀態(tài)，省去了不少時間

    https://www.nartac.com/Products/IISCrypto

    下載完成后，接受用戶協(xié)議

然后可以看到當(dāng)前服務(wù)器使用的加密算法和協(xié)議

接下來直接點(diǎn)擊左下角的best practices，然后重啟服務(wù)器

重啟之后chrome問題解決，我只想說，實(shí)在是太特么方便了

最后，問題解決，皆大歡喜。