今天有個(gè)客戶(hù)給我反饋了一個(gè)在網(wǎng)站安裝SSL證書(shū)后，網(wǎng)站https顯示異常的問(wèn)題，就是在谷歌瀏覽器下，會(huì)提示“您的連接存在安全隱患”，訪(fǎng)問(wèn)被阻止，如下：

如果繼續(xù)強(qiáng)制瀏覽，會(huì)提示“你與此網(wǎng)站之間建立的連接并非完全安全，攻擊者可能能夠看到您正在此網(wǎng)站上瀏覽的圖片，并通過(guò)編輯這些圖片讓你受騙 ”，如下：

已經(jīng)很少遇到這種情況了，而且在其他瀏覽器下都沒(méi)遇到過(guò)，其他網(wǎng)站申請(qǐng)的相同類(lèi)型的SSL證書(shū)也沒(méi)遇到過(guò)，所以排除了是證書(shū)的問(wèn)題；網(wǎng)站上有些http類(lèi)型的資源，全部替換成https的資源后，還是有這個(gè)提示，最后估計(jì)是服務(wù)器配置這塊有點(diǎn)問(wèn)題了；后來(lái)百度了下這個(gè)問(wèn)題，說(shuō)得最多的是IIS web服務(wù)器相關(guān)的問(wèn)題，想想平時(shí)幫客戶(hù)做網(wǎng)站已經(jīng)基本不用IIS服務(wù)器了，原因那應(yīng)該出在服務(wù)器配置上了。

下面是作者收集整理后的具體解決方法，如果你的網(wǎng)站用的是IIS服務(wù)器，網(wǎng)站要升級(jí)成https，這個(gè)方法能幫你解決到這個(gè)問(wèn)題。

1、下載服務(wù)器安全管理工具 IIS Crypto，點(diǎn)擊下面的按鈕下載到IIS服務(wù)器：

2、解壓后，直接雙擊IISCrypto.exe進(jìn)行安裝，按照下面的選項(xiàng)勾選，然后點(diǎn)擊“Apply”保存設(shè)置，然后點(diǎn)擊“Reboot”重啟服務(wù)器即可。

重新配置后，網(wǎng)站證書(shū)顯示正常了

IIS Crypto工具介紹

IIS Crypto 是一個(gè)免費(fèi)工具，使管理員能夠在 Windows Server 2008、2012、2016、2019 和 2022 上啟用或禁用協(xié)議、密碼、哈希和密鑰交換算法。

允許您重新排序 IIS 提供的 SSL/TLS 密碼套件、更改高級(jí)設(shè)置、通過(guò)單擊實(shí)施最佳實(shí)踐、創(chuàng)建自定義模板和測(cè)試您的網(wǎng)站。

功能

1、單擊以使用最佳實(shí)踐保護(hù)您的網(wǎng)站。
2、在進(jìn)行任何更新之前備份注冊(cè)表。
3、更改高級(jí)注冊(cè)表設(shè)置。
4、內(nèi)置最佳實(shí)踐、PCI 4.0、嚴(yán)格和 FIPS 140-2 模板。
5、創(chuàng)建可在多個(gè)服務(wù)器上保存和運(yùn)行的自定義模板。
6、恢復(fù)為原始服務(wù)器的默認(rèn)設(shè)置。
7、阻止溺水、僵局、怪胎、貴賓犬和野獸攻擊。
8、啟用 TLS 1.1、1.2 和 1.3*。
9、啟用前向保密。
10、對(duì)密碼套件重新排序。
11、禁用弱協(xié)議和密碼，例如 SSL 2.0、3.0、MD5 和 3DES
12、用于測(cè)試配置的站點(diǎn)掃描程序。

IIS上部署多個(gè)SSL證書(shū)綁定https和使用TLS1.0 TLS1.1 TLS1.2協(xié)議

近日站長(zhǎng)嘗到了轉(zhuǎn)https的好處，這幾天也順便把公司服務(wù)器上面的幾個(gè)網(wǎng)站都由http轉(zhuǎn)成https。實(shí)際操作發(fā)現(xiàn)IIS弄個(gè)SSL還是很多坑的。下面提兩點(diǎn)，給大家一點(diǎn)幫助。具體綁定SSL證書(shū)的操作很簡(jiǎn)單，不懂百度一下很多教程的。

坑1：服務(wù)器要windows server 2012 + IIS8.5以上才能多個(gè)域名同時(shí)部署SSL，否則很麻煩。

由于公司的服務(wù)器是Windows server 2012，剛好能方便的多個(gè)域名同時(shí)綁定https，不然真的很麻煩。我建議不得不用Windows服務(wù)器的話(huà)，建議大家重裝到2012以上的版本吧。

還有綁定https域名時(shí)，記得勾選上“需要服務(wù)器名稱(chēng)指示(N)”，這也是一個(gè)小坑，不勾選的話(huà)，只能綁定的是第一個(gè)綁定的SSL證書(shū)。

坑2：IIS默認(rèn)的是SSL 2.0協(xié)議，使用了RC4加密密鑰的，這樣會(huì)造成PCI DSS和Apple ATS規(guī)范不及格。

我們需要禁用SSL v2.0、SSL v3.0協(xié)議和低強(qiáng)度加密密鑰。使用TLS1.0 TLS1.1 TLS1.2版本。

這里如果要改的話(huà)，要去注冊(cè)表改，很麻煩的。我找到了IIS Crypto GUI這個(gè)軟件很方便就能修改。

直接點(diǎn)“Best Practices”，推薦設(shè)置，然后點(diǎn)“Apply”應(yīng)用即可，要重啟一下系統(tǒng)。

注意！ 注意！

修改SSL相關(guān)的注冊(cè)表可能會(huì)導(dǎo)致windows 服務(wù)器無(wú)法進(jìn)系統(tǒng)，使用IIS Crypto設(shè)置錯(cuò)了也會(huì)導(dǎo)致進(jìn)不了系統(tǒng)。所以需要先備份和系統(tǒng)快照。

最后是我碰到了lsass.exe進(jìn)程占用CPU過(guò)高的問(wèn)題，
Key Exchanges 只開(kāi)啟PKCS可以解決。原因不明。

Lsass.exe high CPU usage and causing request queuing on webserver

https://serverfault.com/questions/674029/lsass-exe-high-cpu-usage-and-causing-request-queuing-on-webserver

TLS 設(shè)置 c#

c#,asp.net4.0-4.4 是

在發(fā)送HTTP請(qǐng)求前加入下行代碼

ServicePointManager.SecurityProtocol = (SecurityProtocolType)192 | (SecurityProtocolType)768 | (SecurityProtocolType)3072;

  4.5 是

如果是4.5以上版本可以直接使用

ServicePointManager.SecurityProtocol = SecurityProtocolType.Tls12 | SecurityProtocolType.Tls11;

最新評(píng)論