這兩天有個項目被掃描器報了幾個中危,都是SSL證書的問題。記錄一下解決方案吧。算法
第一個問題:SSL Certificate Signed Using Weak Hashing Algorithm服務器
這裏的緣由是由於使用弱算法簽名的證書。網絡
解決方案查了下總結下來是換算法。less
操做步驟:ide
一、從證書頒發機構安裝服務器的身份驗證證書ui
二、在註冊表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp中配置自定義的證書來支持 TLS 而不是使用默認的自簽名的證書的證書的 SHA1 哈希。spa
新建值的名稱:SSLCertificateSHA1Hashcode
值類型:REG_BINARYip
值數據:證書指紋ci
- 這個值應由逗號分隔的證書的指紋,並無空格。例如,若是您要導出該註冊表項的 SSLCertificateSHA1Hash 值以下所示:
"SSLCertificateSHA1Hash"= hex: 42,49,e1,6e,0a,f0,a0,2e,63,c4,五、 9三、 fd,52,ad,0九、 2七、 82,1b,01
注意: 須要直接編輯註冊表,由於在 Windows 客戶端配置服務器證書的 SKUs 沒有用戶界面。 - 在網絡服務賬戶下運行遠程桌面主機服務。所以,有必要設置 RDS (由 SSLCertificateSHA1Hash 註冊表值中指定的證書引用) 所使用的密鑰文件的 ACL 具備"讀取"權限包括網絡服務。若要修改權限,請按照如下步驟:
打開證書管理單元中的本地計算機: - 單擊開始,單擊運行,鍵入mmc,請單擊肯定。
- 在文件菜單上單擊添加/刪除管理單元。
- 在添加或刪除管理單元對話框中,在可用的管理單元列表中,單擊證書,並單擊添加。
- 在證書管理單元對話框中,單擊計算機賬戶,而後單擊下一步。
- 在選擇計算機對話框中,單擊本地計算機: (運行此控制檯的計算機),而後單擊完成。
- 在添加或刪除管理單元對話框中,單擊肯定。
- 證書管理單元中,在控制檯樹中,展開證書 (本地計算機),展開我的,而後導航到您想要使用的 SSL 證書。
- 用鼠標右鍵單擊證書,選擇全部任務,而後選擇管理私鑰。
- 在權限對話框中,單擊添加,鍵入網絡服務,在容許複選框,單擊肯定,選擇讀取而後單擊肯定。
到這裏差很少就能夠完成了。
SSL Medium Strength Cipher Suites Supported 這個問題的話也是修改註冊表,修改註冊表文件中的 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\ 新建一個名稱爲Enabled,值爲0的註冊表選項便可了。DWORD key name 'Enabled' with value '0' to the cipher key with the size less than '128'.