為了客戶使用https的協議,本次做了以下的動作完成了馮証的申請及網站的對應。

1.生成憑証請求

本次是透過亞太申請RapidSSL 憑證(一年1000元)。 根據亞太的申請方式 https://emanager.aptg.com.tw/konakart/docs/geo_5.pdf

a.不要出現特殊字元 b.CSR 檔產生加密長度必須為 2048 bit

以我們的IIS7來說,應該用這個方式https://blog.cloudmax.com.tw/ssl-installed-windows-server-2008-r2/

image

image

image

image

2.在亞太購買一年DV類型的憑証

image

必須填寫第一步產生的CSR

image

3.取得亞太申請的憑証,在信件附件中

image

4.完成憑証要求,匯入亞太寄來的憑証

image

5.匯出PFX後, 轉出Private Key和CRT

image

image

image

image

image

輸入密碼及檔名之後就完成匯出PFX了。

在MAC OS上使用的命令:

PFX==>Private Key

openssl pkcs12 -in xtimetw.pfx -nocerts -password "pass:1qaz2wsx#ED" -nodes -out xtimetw.key

PFX==>CRT

openssl pkcs12 -in xtimetw.pfx -nokeys -password "pass:1qaz2wsx#ED" -out xtimetw.crt

CRT==>PFX

免費的zeroSSL產生的憑證是 .crt 非 .pfx,IIS 憑台只能使用 .pfx 憑證檔,所以這時候就需要透過工具做轉換,我們到 OpenSSL for Windows 去下載 OpenSSL 回來,並把他安裝完成。

指令中 D:\netpc是憑證路徑,請更改你放憑證檔的路徑。

openssl pkcs12 -export -out D:\netpc\certificate.pfx -inkey D:\netpc\private.key -in D:\netpc\certificate.crt -certfile D:\netpc\ca_bundle.crt

6.綁定443/https

參考https://emanager.aptg.com.tw/konakart/docs/geo_6.pdf

憑証繫結(綁定)網站,但此方法適合只有單個網站 多個需要手動設定

image

image

7.手動綁定網站

參考https://kknews.cc/zh-tw/code/rxeevvn.html

如果IIS7下想綁定多個子域名,就需要手動配置了,因為IIS7下默認支持單個443埠。

配置方法如下:

主要的IIS 設定檔applicationHost.config會儲存在 %systemroot%\Windows\System32\inetsrv\config 資料夾底下

 

多域名綁定443埠方法

然後在iis的站點上重新選擇下證書,重啟iis站點。

註:重啟iis站點,不要重啟整個IIS伺服器,不然又需要重新操作一次配置!

image

8.增加TLS1.1/1.2

微軟的說明:

https://support.microsoft.com/zh-tw/topic/%E7%82%BA-windows-server-2008-sp2-windows-embedded-posready-2009-%E5%92%8C-windows-embedded-standard-2009-%E4%B8%AD%E7%9A%84-tls-1-1-%E5%8F%8A-tls-1-2-%E6%96%B0%E5%A2%9E%E6%94%AF%E6%8F%B4%E7%9A%84%E6%9B%B4%E6%96%B0-b6ab553a-fa8f-3f5e-287c-e752eb3ce5f4

文中提到下載KB4019276合適的更新版本,應該要能更新的,但不知道為何都說本機的版本不適用。

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4019276

 

加入TLS1.2註冊檔,死馬當活馬醫

參考http://slashview.com/archive2019/20190903.html

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001

將上述存檔為TLS.reg後,點二下執行,記得重開機

9.測試

透過entrust.ssllabs.com來掃描網站的SSL狀態,可以看到TLS 1.2已經被開啟了。但不曉得怎麼測第二次。

Before:

image

After:

image

arrow
arrow

    NetPC虛擬主機 發表在 痞客邦 留言(0) 人氣()