這兩天有個項目被掃描器報了幾個中危,都是SSL證書的問題。記錄一下解決方案吧。
第一個問題:SSL Certificate Signed Using Weak Hashing Algorithm
這里的原因是因為使用弱算法簽名的證書。
解決方案查了下總結下來是換算法。
操作步驟:
1、從證書頒發機構安裝服務器的身份驗證證書
2、在注冊表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp中配置自定義的證書來支持 TLS 而不是使用默認的自簽名的證書的證書的 SHA1 哈希。
新建值的名稱:SSLCertificateSHA1Hash
值類型:REG_BINARY
值數據:證書指紋
- 這個值應由逗號分隔的證書的指紋,並沒有空格。例如,如果您要導出該注冊表項的 SSLCertificateSHA1Hash 值如下所示:
"SSLCertificateSHA1Hash"= hex: 42,49,e1,6e,0a,f0,a0,2e,63,c4,5、 93、 fd,52,ad,09、 27、 82,1b,01
注意: 需要直接編輯注冊表,因為在 Windows 客戶端配置服務器證書的 SKUs 沒有用戶界面。 - 在網絡服務帳戶下運行遠程桌面主機服務。因此,有必要設置 RDS (由 SSLCertificateSHA1Hash 注冊表值中指定的證書引用) 所使用的密鑰文件的 ACL 具有"讀取"權限包括網絡服務。若要修改權限,請按照以下步驟:
打開證書管理單元中的本地計算機: - 單擊開始,單擊運行,鍵入mmc,請單擊確定。
- 在文件菜單上單擊添加/刪除管理單元。
- 在添加或刪除管理單元對話框中,在可用的管理單元列表中,單擊證書,並單擊添加。
- 在證書管理單元對話框中,單擊計算機帳戶,然后單擊下一步。
- 在選擇計算機對話框中,單擊本地計算機: (運行此控制台的計算機),然后單擊完成。
- 在添加或刪除管理單元對話框中,單擊確定。
- 證書管理單元中,在控制台樹中,展開證書 (本地計算機),展開個人,然后導航到您想要使用的 SSL 證書。
- 用鼠標右鍵單擊證書,選擇所有任務,然后選擇管理私鑰。
- 在權限對話框中,單擊添加,鍵入網絡服務,在允許復選框,單擊確定,選擇讀取然后單擊確定。
到這里差不多就可以完成了。
SSL Medium Strength Cipher Suites Supported
這個問題的話也是修改注冊表,修改注冊表文件中的
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\
新建一個名稱為Enabled,值為0的注冊表選項即可了。
DWORD key name 'Enabled' with value '0' to the cipher key with the size less than '128'.