SSL Certificate Signed Using Weak Hashing Algorithm 和SSL Medium Strength Cipher Suites Supported的解決方案


這兩天有個項目被掃描器報了幾個中危,都是SSL證書的問題。記錄一下解決方案吧。

第一個問題:SSL Certificate Signed Using Weak Hashing Algorithm

這里的原因是因為使用弱算法簽名的證書。

解決方案查了下總結下來是換算法。

操作步驟:

  1、從證書頒發機構安裝服務器的身份驗證證書

  2、在注冊表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp中配置自定義的證書來支持 TLS 而不是使用默認的自簽名的證書的證書的 SHA1 哈希。

    新建值的名稱:SSLCertificateSHA1Hash

      值類型:REG_BINARY

      值數據:證書指紋

    1. 這個值應由逗號分隔的證書的指紋,並沒有空格。例如,如果您要導出該注冊表項的 SSLCertificateSHA1Hash 值如下所示:

      "SSLCertificateSHA1Hash"= hex: 42,49,e1,6e,0a,f0,a0,2e,63,c4,5、 93、 fd,52,ad,09、 27、 82,1b,01

      注意: 需要直接編輯注冊表,因為在 Windows 客戶端配置服務器證書的 SKUs 沒有用戶界面。

    2. 在網絡服務帳戶下運行遠程桌面主機服務。因此,有必要設置 RDS (由 SSLCertificateSHA1Hash 注冊表值中指定的證書引用) 所使用的密鑰文件的 ACL 具有"讀取"權限包括網絡服務。若要修改權限,請按照以下步驟:

      打開證書管理單元中的本地計算機:

      1. 單擊開始,單擊運行,鍵入mmc,請單擊確定。

      2. 在文件菜單上單擊添加/刪除管理單元。

      3. 在添加或刪除管理單元對話框中,在可用的管理單元列表中,單擊證書,並單擊添加。

      4. 在證書管理單元對話框中,單擊計算機帳戶,然后單擊下一步。

      5. 在選擇計算機對話框中,單擊本地計算機: (運行此控制台的計算機),然后單擊完成。

      6. 在添加或刪除管理單元對話框中,單擊確定。

      7. 證書管理單元中,在控制台樹中,展開證書 (本地計算機),展開個人,然后導航到您想要使用的 SSL 證書。

      8. 用鼠標右鍵單擊證書,選擇所有任務,然后選擇管理私鑰。

      9. 在權限對話框中,單擊添加,鍵入網絡服務,在允許復選框,單擊確定,選擇讀取然后單擊確定。

 

      到這里差不多就可以完成了。

 

SSL Medium Strength Cipher Suites Supported
  這個問題的話也是修改注冊表,修改注冊表文件中的
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\
  新建一個名稱為Enabled,值為0的注冊表選項即可了。
DWORD key name 'Enabled' with value '0' to the cipher key with the size less than '128'.


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM