SSL Certificate Signed Using Weak Hashing Algorithm 和SSL Medium Strength Cipher Suites Supported的解决方案

时间:2022-11-16 23:05:21
SSL Certificate Signed Using Weak Hashing Algorithm 和SSL Medium Strength Cipher Suites Supported的解决方案

这两天有个项目被扫描器报了几个中危,都是SSL证书的问题。记录一下解决方案吧。

第一个问题:SSL Certificate Signed Using Weak Hashing Algorithm

这里的原因是因为使用弱算法签名的证书。

解决方案查了下总结下来是换算法。

操作步骤:

  1、从证书颁发机构安装服务器的身份验证证书

  2、在注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp中配置自定义的证书来支持 TLS 而不是使用默认的自签名的证书的证书的 SHA1 哈希。

    新建值的名称:SSLCertificateSHA1Hash

      值类型:REG_BINARY

      值数据:证书指纹

    1. 这个值应由逗号分隔的证书的指纹,并没有空格。例如,如果您要导出该注册表项的 SSLCertificateSHA1Hash 值如下所示:

      "SSLCertificateSHA1Hash"= hex: 42,49,e1,6e,0a,f0,a0,2e,63,c4,5、 93、 fd,52,ad,09、 27、 82,1b,01

      注意: 需要直接编辑注册表,因为在 Windows 客户端配置服务器证书的 SKUs 没有用户界面。

    2. 在网络服务帐户下运行远程桌面主机服务。因此,有必要设置 RDS (由 SSLCertificateSHA1Hash 注册表值中指定的证书引用) 所使用的密钥文件的 ACL 具有"读取"权限包括网络服务。若要修改权限,请按照以下步骤:

      打开证书管理单元中的本地计算机:

      1. 单击开始,单击运行,键入mmc,请单击确定。
      2. 在文件菜单上单击添加/删除管理单元。
      3. 在添加或删除管理单元对话框中,在可用的管理单元列表中,单击证书,并单击添加。
      4. 在证书管理单元对话框中,单击计算机帐户,然后单击下一步。
      5. 在选择计算机对话框中,单击本地计算机: (运行此控制台的计算机),然后单击完成。
      6. 在添加或删除管理单元对话框中,单击确定。
      7. 证书管理单元中,在控制台树中,展开证书 (本地计算机),展开个人,然后导航到您想要使用的 SSL 证书。
      8. 用鼠标右键单击证书,选择所有任务,然后选择管理私钥。
      9. 在权限对话框中,单击添加,键入网络服务,在允许复选框,单击确定,选择读取然后单击确定。

      到这里差不多就可以完成了。

SSL Medium Strength Cipher Suites Supported
  这个问题的话也是修改注册表,修改注册表文件中的
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\
  新建一个名称为Enabled,值为0的注册表选项即可了。
DWORD key name 'Enabled' with value '0' to the cipher key with the size less than '128'.