gca windows iis 8.0 ssl...
TRANSCRIPT
1
政府憑證管理中心(GCA)
Windows IIS 8.0 SSL 憑證請求檔製作與憑證安裝手冊
聲明:本手冊之智慧財產權為中華電信股份有限公司(以下簡稱本公司)所有,
本公司保留所有權利。本手冊所敘述的程序係將本公司安裝相關軟體的經驗分享
供申請 SSL 伺服軟體憑證用戶參考,若因參考本手冊所敘述的程序而引起的任
何損害,本公司不負任何損害賠償責任。
目錄
Windows IIS 8.0 SSL 憑證請求檔製作手冊 ................................................................ 2
Windows IIS 8.0 SSL 憑證安裝操作手冊 (適用 2019/09/02 之後申請) ................... 6
Windows IIS 8.0 SSL 憑證安裝操作手冊 (適用 2019/09/02 之前申請) ................. 18
附件一:停用 SSLv2、SSLv3 ................................................................................... 33
2
Windows IIS 8.0 SSL 憑證請求檔製作手冊
一、 開啟「Internet Information Services (IIS)管理員」
二、 點選主機連線預設名稱(預備申請與安裝 SSL 憑證的網站),再點選畫面
右邊「伺服器憑證」兩下。
3
三、 點選「建立憑證要求」
四、 輸入以下所有欄位資料,輸入完成後請點選「下一步」, 多網域憑證申
請填一個代表網站名稱即可,實際憑證核發資料是以申請書填寫為主。
4
五、 選擇密碼編譯服務提供者『Microsoft RSA SChannel Cryptographic
Provider』,金鑰長度選擇 『2048』位元。請注意依照國際密碼學趨勢,請
使用 RSA 2048 位元(含)以上金鑰長度。
六、 指定儲存憑證請求檔的檔案名稱與存放位置,確認後請點選「完成」。
5
七、 此時憑證請求檔(certreq.txt)製作完成,使用憑證請求檔至政府憑證
管理中心(http://gca.nat.gov.tw)申請 SSL憑證。
6
Windows IIS 8.0 SSL 憑證安裝操作手冊
(適用 2019/09/02 之後申請)
一、開啟「Internet Information Services (IIS)管理員」。
二、點選主機連線預設名稱,再點選畫面右邊「伺服器憑證」。
7
三、點選「完成憑證要求」。
四、如下圖,選擇至政府憑證管理中心申請之 SSL 憑證,並輸入好記的名稱(一
般填寫 Domain Name)。
8
五、步驟 4 按「確定」,出現完成憑證要求的畫面。
六、至 GTLSCA 網站下載已經壓縮打包好的憑證串鏈檔案,下載網址為
https://gtlsca.nat.gov.tw/download/GTLSCA_All.zip
七、將 GTLSCA_All.zip 解壓縮,可以得到 ROOTeCA_64.crt、
9
eCA1_to_eCA2-New.crt 和 GTLSCA.crt 共 3 個檔案。
八、接著要安裝 eCA 自發憑證及 GTLSCA 憑證。
請先點選左下角的「Windows PowerShell」→輸入「mmc」→按下「Enter」。
九、選擇「新增/移除嵌入式管理單元」。
10
十、接著點選「憑證」→「新增」。
選擇「電腦帳戶」→「下一步」→「完成」。
11
最後按下「確定」。
十一、匯入 eCA 自發憑證。在「中繼憑證授權單位」下的「憑證」按下右鍵,
選擇「所有工作」→「匯入」。
12
依照下列步驟匯入自發憑證。
13
14
十二、匯入 GTLSCA 憑證。在「中繼憑證授權單位」下的「憑證」按下右鍵,
選擇「所有工作」→「匯入」。
15
依照上述匯入 eCA 自發憑證的步驟,匯入 GTLSCA 憑證。
成功匯入後,可以看到 GTLSCA 的憑證。
16
十三、ROOTeCA_64.crt 因 Windows 本身大多已內建,不需另外匯入。
十四、檢查「受信任的根憑證授權單位」中是否有 ePKI Root Certification
Authority - G2 的憑證(到期日為 2037/12/31),若有請刪除。
十五、點選要安裝的站台,本手冊以(Default Web Site)進行說明,選擇「繫結」
新增類型『https』、連接埠 『443』,選擇要安裝在此站台之 SSL 憑證
(www.test.com.tw) 。
17
十六、依照您的網路架構,您可能需要於防火牆開啟對應 https 的 port。
18
Windows IIS 8.0 SSL 憑證安裝操作手冊
(適用 2019/09/02 之前申請)
一、開啟「Internet Information Services (IIS)管理員」。
二、點選主機連線預設名稱,再點選畫面右邊「伺服器憑證」。
19
三、點選「完成憑證要求」。
四、如下圖,選擇至政府憑證管理中心申請之 SSL 憑證,並輸入好記的名稱(一
般填寫 Domain Name)。
20
五、步驟 4 按「確定」,出現完成憑證要求的畫面。
六、請至下列網址下載 3 張憑證:
GRCA 自發憑證(GRCA1 簽 GRCA1.5)
http://grca.nat.gov.tw/repository/Certs/GRCA1_to_GRCA1_5.cer
21
GRCA 自發憑證(GRCA1.5 簽 GRCA2)
http://grca.nat.gov.tw/repository/Certs/GRCA1_5_to_GRCA2.cer
GCA2 憑證
http://gca.nat.gov.tw/repository/Certs/GCA2.cer
七、接著要安裝 GRCA 自發憑證及 GCA2 憑證。
請先點選左下角的「Windows PowerShell」→輸入「mmc」→按下「Enter」。
八、選擇「新增/移除嵌入式管理單元」。
22
九、接著點選「憑證」→「新增」。
選擇「電腦帳戶」→「下一步」→「完成」。
23
最後按下「確定」。
24
十、匯入第 1 張 GRCA 自發憑證。在「中繼憑證授權單位」下的「憑證」按下
右鍵,選擇「所有工作」→「匯入」。
依照下列步驟匯入自發憑證。
25
26
27
十一、匯入第 2 張自發憑證。在「中繼憑證授權」下的「憑證」按下右鍵,選擇
「所有工作」→「匯入」。
依照上述匯入第 1 張 GRCA 自發憑證的步驟,匯入第 2 張自發憑證。
28
匯入成功後,可以看到 GRCA 的 2 張自發憑證。
29
十二、匯入 GCA2 憑證。在「中繼憑證授權單位」下的「憑證」按下右鍵,選
擇「所有工作」→「匯入」。
依照上述匯入 GRCA 自發憑證的步驟,匯入 GCA2 憑證。
30
成功匯入後,可以看到 GCA2 的憑證。
十三、檢查「受信任的根憑證授權單位」中是否有 GRCA2 的憑證(到期日為
2037/12/31)、「中繼憑證授權單位」中是否有 GRCA 的自發憑證(到期日為
2032/12/5),以上若有請刪除。
十四、點選要安裝的站台,本手冊以(Default Web Site)進行說明,選擇「繫結」
新增類型『https』、連接埠 『443』,選擇要安裝在此站台之 SSL 憑證
(www.test.com.tw) 。
31
32
十五、依照您的網路架構,您可能需要於防火牆開啟對應 https 的 port。
33
附件一:停用 SSLv2、SSLv3
一、 經測試,IIS8 SSL2.0預設是關閉的,若您的 SSL2.0是開啟的,您可
以依照以下關閉 SSL 3.0的作法來關閉 SSL2.0。
二、 開啟登錄檔編輯程式,依照以下路徑找到 Protocols。
HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProvider
s\SCHANNEL\Protocols\
在 Protocols的機碼上,按下右鍵→新增→機碼,然後輸入「SSL 3.0」。
34
三、 在 SSL3.0資料夾上按右鍵→新增→機碼,然後輸入「Server」。
四、 接著在剛剛建立 Server的資料夾下按右鍵→新增→DWORD(32-位元)
值,然後輸入「Enabled」,並確認資料欄位值為「0x00000000 (0)」,若
不是,請手動將值改為 0。
35
五、 重新啟動電腦。啟動完成後,使用可以測試工具(註 1、註 2)進行檢
測,看 SSL 2.0、SSL3.0是否已停用。
註 1:例如行政院國家資通安全會報技服中心網頁
http://www.icst.org.tw/NewInfoDetail.aspx?seq=1436&lang=zh 有介紹兩種檢
測伺服器端 SSL 協定的工具:(1) TestSSLServer
36
(http://www.bolet.org/TestSSLServer/) (2) QUALYS SSL LABS SSL Server
Test 檢測工具(https://www.ssllabs.com/ssltest/index.html, 也是 CA/Browser
Forum網站建議的檢測工具)可偵測伺服器所使用之加密協定,因 2014 年 10
月中國際公告了 SSLv3 加密協定存在中間人攻擊弱點,弱點編號
CVE-2014-3566 (POODLE),故建議不要使用 SSL V3協定,請改用 TLS 最新
協定。
註 2:
(1) 若是用戶端各平台之瀏覽器要停止使用 SSL V3協定可參考
https://zmap.io/sslv3/browsers.html 之英文說明
(2) 請超連結至 https://dev.ssllabs.com/ssltest/viewMyClient.html可檢測您用戶端
之瀏覽器是否已經停用 SSL V3。
(3) 若是 I.E.瀏覽器可於工具列-> 網際網路選項->進階->安全性取消勾
選使用 SSL V3 與使用 SSL V2,或參考下圖設定(取材自行政院國家資
通安全會報技服中心網頁
http://www.icst.org.tw/NewInfoDetail.aspx?seq=1436&lang=zh)