簡介
本文檔介紹在安裝Microsoft知識庫(KB)更新後,Cisco Unified Intelligence Center(CUIC)網頁停止載入到Internet Explorer(IE)中的情況。
文章還從CUIC的角度提供了可能的變通辦法/解決方案。
必要條件
需求
思科建議您瞭解以下主題:
採用元件
本檔案中的資訊是根據以下軟體版本:
- 思科整合情報中心10.5(1)
- 思科整合情報中心10.x
- 思科整合情報中心9.1(x)
- Windows 7或8
- Internet Explorer 11
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。
案例
- CUIC版本9.1(1)或CUIC版本10.5(1)
- Windows 7或Windows 8上的Internet Explorer(IE)11
- 在Windows 7/8上安裝KB3161639
- 在Internet Explorer上啟動CUIC連結- http://<CUIC主機地址>/cuic
如下圖所示的錯誤消息提示:
分析
Microsoft在2016年6月更新彙總KB3161608中增加了新的密碼套件,如圖所示。
作為KB3161639的一部分,將TLS_DHE_RSA_WITH_AES_128_CBC_SHA和TLS_DHE_RSA_WITH_AES_256_CBC_SHA新增到密碼套件中,並在Windows作業系統中更改密碼套件的預設優先順序順序。
因此,如果客戶端電腦具有上述更新,則它們傾向於使用TLS_DHE_RSA_WITH_AES_128_CBC_SHA與CUIC tomcat伺服器進行通訊(因為TLS_DHE_RSA_WITH_AES_128_CBC_SHA在其CUIC tomcat聯結器配置中定義)。
但是,使用TLS_DHE_RSA_WITH_AES_128_CBC_SHA密碼的通訊不起作用。這是因為Microsoft強制實施針對Diffie Hellman Exchange(DHE)金鑰的1024位最低要求來修復登入攻擊。
CUIC直到版本11.x都具有Java 6版本,該版本僅支援768位金鑰。因此,它可以導致握手失敗。
解決方案
這不適用於解決此問題的CUIC 11.0(1)。對於CUIC版本9.1(1)和10.x版本,可通過此處提供的開啟SSL COP檔案解決此問題
作為openssl cop的一部分,通過刪除TLS_DHE_RSA_WITH_AES_128_CBC_SHA來防止Diffie-Hellman(DHE)密碼支援從CUIC tomcat聯結器刪除,以防止日誌堵塞攻擊。