windows2012 IIS部署GeoTrust證書踩過的坑。

系統：windows2012

環境：IIS8

在阿里雲上買了GeoTrust證書， 按照說明下載證書到服務器，  導入證書， 給IIS站點部署https。  

  阿里雲部署幫助文檔：https://help.aliyun.com/knowledge_detail/44596.html

 

第一個坑：

國內殼子瀏覽器： 數字，搜狗， Maxthon， webkit內核， 和IE，Edge統統ok。 但chrome瀏覽器5二、5三、54這三個版本地址欄全顯示紅叉」您的鏈接不是私密鏈接，攻擊者可能會試圖從xxx竊取您的信息「。

使用https://cryptoreport.geotrust.com/checker/views/certCheck.jsp 檢測，   

結果以下：

Warnings

   SSLv3

   Your server's encryption settings are vulnerable. This server uses the SSLv3 protocol, which is not secure.  

 

     This server is vulnerable to:

  Poodle (SSLv3 protocol)

  This server is vulnerable to a Poodle (SSLv3) attack.  

 

windows2012 默認開啓了這些，  google了一把，  要關閉這些， 能夠手動改註冊表， 也能夠借用工具。 特地記錄下。 

1. 註冊表修改腳本打包：http://files.cnblogs.com/files/jackrebel/DisableSSLv3AndRC4.reg_.zip 
2. 用GUI工具：http://files.cnblogs.com/files/jackrebel/IISCrypto.zip
3. 本身動手改註冊表：http://cloudacademy.com/blog/how-to-fix-poodle-on-windows-server-2012/

以上操做3選1。  都是修改的註冊表，都須要重啓服務器。 

 

 

第二個坑：

　　泛域名證書，  加了https後， 須要把全部http連接、引用的資源都改爲https， 不然瀏覽器依舊是警告標識。  沒有綠標。 

     修改全部代碼。 如：  <a href="http://www.8kmm.com/meinvheji/63027_2.html"><img src='http://img.8kmm.com/2014/11/201411120940405748.jpg'></a>

                       改爲： <a href="//www.8kmm.com/meinvheji/63027_2.html"><img src='//img.8kmm.com/2014/11/201411120940405748.jpg'></a>

                 去掉紅色的http頭

    

 　　　　須要把全部引用的資源都改爲https， 不然瀏覽器依舊是警告標識。  

 

 

其它參考資料：https://blog.qualys.com/ssllabs/2014/10/15/ssl-3-is-dead-killed-by-the-poodle-attack

更全面的檢查工具：https://www.ssllabs.com/ssltest/analyze.html?d=certtest.crd.cn