iT邦幫忙

0

SSL弱點修補問題

  1. SSL Certificate with Wrong Hostname
    此弱點為憑證的CN(Common Name)與該主機的Hostname不一致

例如該主機加入網域資訊如下:
電腦名稱:computer-1
完整電腦名稱:computer-1.tw.example.com
網域:tw.example.com
遠端桌面憑證的CN=computer-1.tw.example.com

若將電腦名稱更改為:computer-1.tw.example.com
完整電腦名稱將變更為:computer-1.tw.example.com.tw.example.com
那麼遠端桌面憑證的CN是否會變更為computer-1.tw.example.com.tw.example.com?
還是會維持computer-1.tw.example.com?

若CN會變更為computer-1.tw.example.com.tw.example.com,
此弱點該如何修補呢?

有辦法重新產製一個CN=computer-1的遠端桌面憑證嗎?

  1. SSL Certificate Signed Using Weak Hashing Algorithm
    此弱點為憑證使用較弱的加密演算法

有試過有此弱點的其他主機(於port 1433,443掃出弱點)
使用IIS Crypto關閉MD5及SHA1
或是於Cipher Suite Order取消SHA1的選項,皆有修補成功的

但若為3389掃出的弱點上述兩個修補方式便無效
想問此弱點該如何修補呢?

試過此網頁的做法
https://www.day.ir/en-us/articles/ssl/create-csr-sha2-algorithm
但產生的憑證因為檔案不符無法匯入
顯示的錯誤訊息為:The file type is not recognizable. Select another file.

同上一個弱點,有辦法重新產製一個遠端桌面SHA2的憑證嗎?

1. 有辦法重新產製一個CN=computer-1的遠端桌面憑證嗎? 不能,必須使用FQDN
不能視 NETBIOS NAME
2. 請重新產生
基本上如果CA 是自己的,就去重新產生就好,如果不是,就需要重新申請
這表示你當初填寫的資料有誤,或是申請到錯誤的加密憑證
大多數的建議就是重新申請憑證

尚未有邦友回答

立即登入回答