У нас есть устаревший продукт, работающий на сервере Win2003. Он обращается к сторонней службе, чтобы позволить пользователю совершать безопасные платежи. Нас уведомили, что сторонняя служба перейдет на TLS 1.2. Windows Server 2003 не поддерживает TLS 1.2. По причинам, выходящим за рамки этого вопроса, мы не можем легко перенести код на новый сервер, и мы не решаемся рисковать обновлением ОС на рабочей машине. Я ищу самое простое решение, чтобы выиграть немного времени, пока мы работаем над перемещением этого продукта в облако. Я играю со следующими идеями.
- Используйте какой-либо прокси-сервер для связи между TLS 1.0 и 1.2 (если это возможно, я не уверен, как это сделать).
- Создайте службу, которая маршрутизирует запросы/ответы, и измените файл хоста на сервере, чтобы направить их на новую конечную точку.
Я не могу представить, что я первый, кто имеет дело с этой проблемой - и не хотел бы изобретать велосипед. Я достаточно опытен, так что если кто-то даст мне общий подход с несколькими ключевыми словами, я смогу работать над остальным.
Вопрос: Какой подход позволит коду, работающему на сервере Windows 2003, продолжать вызывать существующую конечную точку после ее обновления до TLS 1.2?
решение1
Настало время «безопасному» платежному сервису обновить свой протокол TLS 1.0, это обновление давно назрело.
Я вижу такие варианты:
- клонируйте сервер (если возможно, на виртуальную машину), попробуйте обновиться в автономном режиме
- настроить SSL-прокси — сокет TLS 1.0 необходимо завершить, а данные передать в сокет TLS 1.2; это, скорее всего, будет включать в себя некоторые манипуляции с DNS и, возможно, потребует использования пользовательского сертификата CA