SSL Certificate Signed Using Weak Hashing Algorithm 和SSL Medium Strength Cipher Suites Supported的解决方案

标签：rds   方案   没有   tls   操作   control   注册表   名称   选择   

这两天有个项目被扫描器报了几个中危，都是SSL证书的问题。记录一下解决方案吧。

第一个问题：SSL Certificate Signed Using Weak Hashing Algorithm

这里的原因是因为使用弱算法签名的证书。

解决方案查了下总结下来是换算法。

操作步骤：

　　1、从证书颁发机构安装服务器的身份验证证书

　　2、在注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp中配置自定义的证书来支持 TLS 而不是使用默认的自签名的证书的证书的 SHA1 哈希。

　　　　新建值的名称：SSLCertificateSHA1Hash

　　　　　　值类型：REG_BINARY

　　　　　　值数据：证书指纹

1. 这个值应由逗号分隔的证书的指纹，并没有空格。例如，如果您要导出该注册表项的 SSLCertificateSHA1Hash 值如下所示：
   
   "SSLCertificateSHA1Hash"= hex： 42，49，e1，6e，0a，f0，a0，2e，63，c4，5、 93、 fd，52，ad，09、 27、 82，1b，01
   
   注意： 需要直接编辑注册表，因为在 Windows 客户端配置服务器证书的 SKUs 没有用户界面。
   
   
2. 在网络服务帐户下运行远程桌面主机服务。因此，有必要设置 RDS （由 SSLCertificateSHA1Hash 注册表值中指定的证书引用） 所使用的密钥文件的 ACL 具有"读取"权限包括网络服务。若要修改权限，请按照以下步骤：
   
   打开证书管理单元中的本地计算机：
   
   
1. 单击开始，单击运行，键入mmc，请单击确定。
   
   
2. 在文件菜单上单击添加/删除管理单元。
   
   
3. 在添加或删除管理单元对话框中，在可用的管理单元列表中，单击证书，并单击添加。
   
   
4. 在证书管理单元对话框中，单击计算机帐户，然后单击下一步。
   
   
5. 在选择计算机对话框中，单击本地计算机: （运行此控制台的计算机），然后单击完成。
   
   
6. 在添加或删除管理单元对话框中，单击确定。
   
   
7. 证书管理单元中，在控制台树中，展开证书 （本地计算机），展开个人，然后导航到您想要使用的 SSL 证书。
   
   
8. 用鼠标右键单击证书，选择所有任务，然后选择管理私钥。
   
   
9. 在权限对话框中，单击添加，键入网络服务，在允许复选框，单击确定，选择读取然后单击确定。

　　　　　　到这里差不多就可以完成了。

SSL Medium Strength Cipher Suites Supported
　　这个问题的话也是修改注册表，修改注册表文件中的
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\
　　新建一个名称为Enabled，值为0的注册表选项即可了。
DWORD key name ‘Enabled‘ with value ‘0‘ to the cipher key with the size less than ‘128‘.

SSL Certificate Signed Using Weak Hashing Algorithm 和SSL Medium Strength Cipher Suites Supported的解决方案

标签：rds   方案   没有   tls   操作   control   注册表   名称   选择   

原文地址：https://www.cnblogs.com/ritte/p/9441918.html