等保測評過程中利用漏掃工具對系統進行漏洞掃描是評估系統風險和發現系統脆弱點的有效方式,而針對發現的系統漏洞，常規的解決方案存在兩種：1、安裝系統補丁2、系統安全加固配置。本期文章就以“SSL Certificate Signed Using Weak Hashing Algorithm”高危系統漏洞為案例向各位小夥伴總結分享該系統漏洞的修複方案。

通過自建Windows系統證書（簽名算法：sha256RSA）替換系統遠程桌面默認的證書（sha1RSA），從而修複“SSL Certificate Signed Using Weak Hashing Algorithm”漏洞。

鑒于Centos 7系統默認安裝openssl工具軟件，因此，登陸Centos 7系統并通過以下命令可自建Windows系統證書。

#創建CA私鑰

openssl genrsa -out windows_CA.key 4096

#調用創建的私鑰創建CA證書，該證書有效期8000天

openssl req -x509 -new -nodes -key windows_CA.key -sha256 -days 8000 -out windows_CA.crt -subj "/C=CN/ST=AnHui/L=Hefei/O=onme0/OU=NIC/CN=test"

#釋義：C=CN指證書發行者的國家，ST=AnHui指省份，L=Hefei指城市，/O=onme0指單位組織名稱，OU=NIC指單位組織的部門，CN=test指該證書用于系統的主機名，此塊信息根據實際情況可自定義配置；

#調用私鑰和證書合成windows系統pfx格式的證書

openssl pkcs12 -export -in windows_CA.crt -inkey windows_CA.key -out windows_CA.pfx

命令提示符中輸入命令：“mmc”打開系統控制台，在控制台中添加管理單元、導入證書并賦予權限。

打開“文件”，打開“添加/删除管理單元”，如下圖所示；

證書管理單元添加完畢後，查看“遠程桌面”的默認證書并删除，如下圖所示；系統遠程桌面服務證書默認采用簽名算法是：sha1RSA。

個人(右鍵)–>所有任務–>導入–>本地機計算–>下一步–>浏覽–>選擇自建的證書–>下一步–>輸入Private Key Password–>确定–>下一步–>完成–>導入成功–>證書(雙擊)–>即可查看到test證書；

記錄證書指紋信息：‎44 cc b9 6c 41 4b 7e 8f 5a 8c 14 f0 08 c9 f4 23 72 fc 91 05，用于遠程桌面調用該證書；

test證書(右鍵)–>所有任務–>管理私鑰–>添加–>輸入對象名稱來選擇–>NETWORK SERVICE–>檢查名稱–>确定–>分配NETWORK SERVICE讀取權限–>确定；

修改系統注冊表使遠程桌面服務調用自建導入的證書。

在命令提示符中輸入以下命令即可修改系統注冊表；

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v "SSLCertificateSHA1Hash" /t REG_BINARY /d 44ccb96c414b7e8f5a8c14f008c9f42372fc9105 /f

釋義：添加字段SSLCertificateSHA1Hash，字段類型REG_BINARY，字段值即為證書的指紋信息；

遠程桌面登陸該windows系統，查看調用證書信息，如下圖所示；從調用的證書來看，該漏洞已成功修複。

另外，通過nessus漏掃工具重新對系統進行掃描同樣可驗證該漏洞已成功修複。

利用Linux系統中的openssl工具可創建适用于windows系統的證書；

通過自建windows系統證書的方案解決“SSL Certificate Signed Using Weak Hashing Algorith”系統漏洞，然而仍存在“SSL Certificate Cannot Be Trusted”和“SSL Self-Signed Certificate”系統漏洞告警。要解決該系統漏洞告警則需向數字證書頒發機構申請相關證書。