gca windows iis 7.0 ssl 憑證請求檔製作與憑證安...
TRANSCRIPT
1
政府憑證管理中心(GCA)
Windows IIS 7.0 SSL憑證請求檔製作與憑證安裝手冊
聲明:本手冊之智慧財產權為中華電信股份有限公司(以下簡稱本公司)所
有,本公司保留所有權利。本手冊所敘述的程序係將本公司安裝相關軟體的經
驗分享供申請 SSL 伺服軟體憑證用戶參考,若因參考本說明文件所敘述的程序
而引起的任何損害,本公司不負任何損害賠償責任。
目錄
Windows IIS 7.0 SSL 憑證請求檔製作手冊 ................................................................ 2
Windows IIS 7.0 SSL 憑證安裝操作手冊 .................................................................... 5
附件一:停用 SSLv2、SSLv3 ................................................................................... 19
附件二:設定 SSL 安全通道的加密強度 ................................................................. 25
附件三:單一 IP,多站台啟用 SSL ......................................................................... 34
2
Windows IIS 7.0 SSL 憑證請求檔製作手冊
一、點選 「開始」 「系統管理工具」 「Internet Information Services
(IIS)管理員」
二、點選主機連線預設名稱(預備申請與安裝 SSL憑證的網站),再點選畫面右
邊「伺服器憑證」
三、點選「建立憑證要求」
3
四、輸入以下所有欄位資料,輸入完成後點點選「下一步」,多網域憑證申請填
一個代表網站名稱即可,實際憑證核發資料是以申請書填寫為主。
五、選擇密碼編譯服務提供者『Microsoft RSA SChannel Cryptographic
Provider』,金鑰長度選擇 『2048』位元。請注意依照國際密碼學趨勢,
請使用 RSA 2048 位元(含)以上金鑰長度。
4
六、指定要儲存憑證請求檔檔案名稱與存放位置,確認後點選「完成」。
七、此時憑證請求檔(certreq.txt)製作完成,使用憑證請求檔至 GCA網站
(http://gca.nat.gov.tw)進行 SSL憑證申請作業。
5
Windows IIS 7.0 SSL 憑證安裝操作手冊
一、點選 「開始」 「系統管理工具」「Internet Information Services
(IIS)管理員」。
二、點選主機連線預設名稱,再點選畫面右邊「伺服器憑證」。
6
三、點選「完成憑證要求」。
四、選擇至憑證管理中心申請之 SSL憑證,並輸入好記名稱(一般填寫 Domain
Name)。
7
五、步驟 4 按「確定」,出現完成憑證要求的畫面。
8
六、請至下列網址下載 3張憑證:
GRCA自發憑證(GRCA1簽 GRCA1.5)
http://grca.nat.gov.tw/repository/Certs/GRCA1_to_GRCA1_5.cer
GRCA自發憑證(GRCA1.5簽 GRCA2)
http://grca.nat.gov.tw/repository/Certs/GRCA1_5_to_GRCA2.cer
GCA2自簽憑證
http://gca.nat.gov.tw/repository/Certs/GCA2.cer
七、接著要安裝 GRCA 自發憑證及 GCA2憑證。
請先點選「開始」→輸入「mmc」→按下「Enter」。
9
10
八、選擇「新增/移除嵌入式管理單元」。
九、接著點選「憑證」→「新增」。
選擇「電腦帳戶」→「下一步」→「完成」。
11
最後按下「確定」。
12
十、匯入第 1 張自發憑證。在「中繼憑證授權」下的「憑證」按下右鍵,選擇
「所有工作」→「匯入」。
出現以下畫面後,點選「下一步」→「下一步」→「完成」。
13
14
十一、 匯入第 2 張自發憑證。在「中繼憑證授權」下的「憑證」按下右鍵,
選擇「所有工作」→「匯入」。
15
依照上述匯入第 1張 GRCA自發憑證的步驟,匯入第 2張自發憑證。
匯入成功後,可以看到 GRCA的 2張自發憑證。
16
十二、 匯入 GCA2憑證。在「中繼憑證授權」下的「憑證」按下右鍵,選擇
「所有工作」→「匯入」。
依照上述匯入 GRCA自發憑證的步驟,匯入 GCA2中繼憑證。
17
成功匯入後,可以看到 GCA2的中繼憑證。
十三、 檢查「受信任的根憑證授權單位」中是否有 GRCA2 的憑證(到期日為
2037/12/31)、「中繼憑證授權單位」中是否有 GRCA 的自發憑證(到期日為
18
2032/12/5),以上若有請刪除。
十四、 點選要安裝的站台,本手冊以(Default Web Site)進行說明,選擇
「繫結」 新增類型『https』、連接埠 『443』,選擇要安裝在此站台
之 SSL憑證(www.test.com.tw) 。
十五、 依照您的網路架構,您可能需要於防火牆開啟對應 https的 port。
19
附件一:停用 SSLv2、SSLv3
一、開啟登錄檔編輯程式,依照以下路徑找到 SSL2.0。
HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProvider
s\SCHANNEL\Protocols\SSL 2.0
二、在 SSL2.0資料夾上按右鍵→新增→機碼,然後輸入「Server」。
20
三、接著在剛剛建立 Server的資料夾下按右鍵→新增→DWORD(32-位元)值,然
後輸入「Enabled」,並確認資料欄位值為「0x00000000 (0)」,若不是,請
手動將值改為 0。
21
四、依照以下路徑找到 SSL3.0
HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProvider
s\SCHANNEL\Protocols\SSL 3.0
若無 SSL3.0,請找到以下路徑,自行新增 SSL3.0 機碼。
HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProvider
s\SCHANNEL\Protocols\
22
五、在 SSL3.0資料夾上按右鍵→新增→機碼,然後輸入「Server」。
六、接著在剛剛建立 Server的資料夾下按右鍵→新增→DWORD(32-位元)值,然
後輸入「Enabled」,並確認資料欄位值為「0x00000000 (0)」,若不是,
請手動將值改為 0。
23
七、重新啟動電腦。啟動完成後,使用可以測試工具(註 1、註 2)進行檢測,
看 SSL 2.0、SSL3.0 是否已停用。
註 1:例如行政院國家資通安全會報技服中心網頁
http://www.icst.org.tw/NewInfoDetail.aspx?seq=1436&lang=zh 有介紹兩種檢
測伺服器端 SSL 協定的工具:(1) TestSSLServer
24
(http://www.bolet.org/TestSSLServer/) (2) QUALYS SSL LABS SSL
Server Test 檢測工具(https://www.ssllabs.com/ssltest/index.html, 也是
CA/Browser Forum 網站建議的檢測工具)可偵測伺服器所使用之加密協
定,因 2014年 10 月中國際公告了 SSLv3 加密協定存在中間人攻擊弱點,
弱點編號 CVE-2014-3566 (POODLE),故建議不要使用 SSL V3協定,請改
用 TLS最新協定。
註 2:
1. 若是用戶端各平台之瀏覽器要停止使用 SSL V3協定可參考
https://zmap.io/sslv3/browsers.html 之英文說明
2. 請超連結至 https://dev.ssllabs.com/ssltest/viewMyClient.html 可檢測您用戶
端之瀏覽器是否已經停用 SSL V3。
3. 若是 I.E.瀏覽器可於工具列-> 網際網路選項->進階->安全性取消勾
選使用 SSL V3 與使用 SSL V2,或參考下圖設定(取材自行政院國家
資通安全會報技服中心網頁
http://www.icst.org.tw/NewInfoDetail.aspx?seq=1436&lang=zh)
25
附件二:設定 SSL 安全通道的加密強度
IIS 7.0預設使用 AES 128位元來進行資料加密,欲使用 AES 256位元來進行
資料加密的話,可以參考以下步驟:
一、啟動 gpedit.msc 程式
二、選擇 SSL組態設定,對著「SSL加密套件順序」點兩下。
26
三、選擇「已啟用」,並修改 SSL加密套件的欄位。
原加密套件順序:
TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_S
HA,TLS_RSA_WITH_RC4_128_SHA,TLS_RSA_WITH_3DES_EDE_CBC_S
HA,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256,TLS_ECDHE_
ECDSA_WITH_AES_128_CBC_SHA_P384,TLS_ECDHE_ECDSA_WITH_A
ES_128_CBC_SHA_P521,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SH
A_P256,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384,TLS_ECD
HE_ECDSA_WITH_AES_256_CBC_SHA_P521,TLS_ECDHE_RSA_WITH_
AES_128_CBC_SHA_P256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
_P384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P521,TLS_ECDHE_
RSA_WITH_AES_256_CBC_SHA_P256,TLS_ECDHE_RSA_WITH_AES_25
6_CBC_SHA_P384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P521,T
LS_DHE_DSS_WITH_AES_128_CBC_SHA,TLS_DHE_DSS_WITH_AES_25
6_CBC_SHA,TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA,TLS_RSA_WI
TH_RC4_128_MD5,SSL_CK_RC4_128_WITH_MD5,SSL_CK_DES_192_ED
E3_CBC_WITH_MD5,TLS_RSA_WITH_NULL_MD5,TLS_RSA_WITH_NU
LL_SHA
修改後的加密套件順序:
TLS_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_RC4_128_SHA,T
LS_RSA_WITH_3DES_EDE_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES
27
_128_CBC_SHA_P256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_
P384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P521,TLS_ECDH
E_ECDSA_WITH_AES_256_CBC_SHA_P256,TLS_ECDHE_ECDSA_WITH
_AES_256_CBC_SHA_P384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_
SHA_P521,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256,TLS_ECD
HE_RSA_WITH_AES_128_CBC_SHA_P384,TLS_ECDHE_RSA_WITH_AE
S_128_CBC_SHA_P521,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P2
56,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384,TLS_ECDHE_RS
A_WITH_AES_256_CBC_SHA_P521,TLS_DHE_DSS_WITH_AES_128_CB
C_SHA,TLS_DHE_DSS_WITH_AES_256_CBC_SHA,TLS_DHE_DSS_WIT
H_3DES_EDE_CBC_SHA,TLS_RSA_WITH_RC4_128_MD5,SSL_CK_RC4_
128_WITH_MD5,SSL_CK_DES_192_EDE3_CBC_WITH_MD5,TLS_RSA_W
ITH_NULL_MD5,TLS_RSA_WITH_NULL_SHA
四、開啟登錄檔編輯程式。
28
五、依照下圖進行登錄檔編輯。
29
30
31
32
六、設定完成後,重開機,即可達到 AES 256位元的加密效果。
33
34
附件三:單一 IP,多站台啟用 SSL
IIS7 在只有一個 IP 的情況下,只能有一個網站使用 443 Port,針對這個狀
況,TLS 協定有新增 SNI(Server Name Indication)的技術解決這個問題,但以 IIS
來說,需 IIS8 以上版本才支援 SNI 的技術,相關支援性請參考維基百科的資訊
(https://en.wikipedia.org/wiki/Server_Name_Indication)。
基於上述原因,若需使用 SNI 的技術,必須將 Windows Server 升級到 2012
的版本(IIS8),或是改用其他的 Web Server(例如:Apache, Tomcat 等)。