安装Microsoft KB3161608/KB后，IE 11上不会加载CUIC网页3161639

简介

本文档介绍在安装Microsoft知识库(KB)更新后，Cisco Unified Intelligence Center(CUIC)网页停止在Internet Explorer(IE)上加载的场景。

文章还从CUIC的角度提供了潜在的解决方法/解决方案。

先决条件

要求

思科建议您了解以下主题：

• Windows管理
• CUIC管理和配置

使用的组件

本文档中的信息基于以下软件版本：

• 思科统一情报中心10.5(1)
• 思科统一情报中心10.x
• 思科统一情报中心9.1(x)
• Windows 7或8
• Internet Explorer 11

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。

场景

• CUIC 9.1(1)版或CUIC 10.5(1)版
• Windows 7或Windows 8上的Internet Explorer(IE)11
• 在Windows 7/8上安装KB3161639
• 在Internet Explorer上启动CUIC链接- http://<CUIC HOST ADDRESS>/cuic

如下图所示，此命令会提示错误消息：

分析

Microsoft在2016年6月更新汇总KB3161608中增加了新的密码套件(如图所示)。

作为KB3161639的一部分，TLS_DHE_RSA_WITH_AES_128_CBC_SHA和TLS_DHE_RSA_WITH_AES_256_CBC_SHA将添加到密码套件，并且Windows操作系统中更改密码套件的默认优先级顺序。

因此，如果客户端计算机有上述更新，则它们倾向于使用TLS_DHE_RSA_WITH_AES_128_CBC_SHA与CUIC tomcat服务器通信(因为其CUIC tomcat连接器配置中定义了TLS_DHE_RSA_WITH_AES_128_CBC_SHA)。

但是，使用TLS_DHE_RSA_WITH_AES_128_CBC_SHA密码的通信不起作用。这是因为Microsoft强制实施Diffie Hellman Exchange(DHE)密钥的最低1024位要求来修复堵塞攻击。

CUIC在版本11.x之前具有Java 6版本，该版本仅支持768位密钥。因此，它可能导致握手失败。

解决方案

这不适用于解决此问题的CUIC 11.0(1)。对于CUIC版本9.1(1)和10.x版本，可通过此处提供的开放式SSL COP文件解决此问题

作为openssl cop的一部分，通过删除TLS_DHE_RSA_WITH_AES_128_CBC_SHA从CUIC tomcat连接器中删除Diffie-Hellman(DHE)密码支持，以防止日志堵塞攻击。