GCA Windows IIS 7.0 SSL 憑證請求檔製作與憑證安裝手冊

政府憑證管理中心（GCA） Windows IIS 7.0 SSL 憑證請求檔製作與憑證安裝手冊 聲明：本手冊之智慧財產權為中華電信股份有限公司（以下簡稱本公司）所有， 本公司保留所有權利。本手冊所敘述的程序係將本公司安裝相關軟體的經驗分享 供申請 SSL 伺服軟體憑證用戶參考，若因參考本說明文件所敘述的程序而引起 的任何損害，本公司不負任何損害賠償責任。

目錄 Windows IIS 7.0 SSL 憑證請求檔製作手冊................................................................ 2 Windows IIS 7.0 SSL 憑證安裝操作手冊.................................................................... 5 附件一：停用 SSLv2、SSLv3 ................................................................................... 19 附件二：設定 SSL 安全通道的加密強度 ................................................................. 26 附件三：單一 IP，多站台啟用 SSL ......................................................................... 35

1

Windows IIS 7.0 SSL 憑證請求檔製作手冊 一、點選 管理員」

Internet Information Services (IIS)

二、點選主機連線預設名稱(預備申請與安裝 SSL 憑證的網站)，再點選畫面右邊 「伺服器憑證」

三、點選「建立憑證要求」

2

四、輸入以下所有欄位資料，輸入完成後點點選「下一步」

五、選擇密碼編譯服務提供者『Microsoft RSA SChannel Cryptographic Provider』 ，金鑰長度選擇 『2048』位元。請注意依照國際密碼學趨勢，請 使用 RSA 2048 位元(含)以上金鑰長度。

3

六、指定要儲存憑證請求檔檔案名稱與存放位置，確認後點選「完成」。

七、此時憑證請求檔(certreq.txt)製作完成，使用憑證請求檔至 GCA 網站 (http://gca.nat.gov.tw)進行 SSL 憑證申請作業。

4

Windows IIS 7.0 SSL 憑證安裝操作手冊 一、點選 「開始」 「系統管理工具」「Internet Information Services (IIS) 管理員」。

二、點選主機連線預設名稱，再點選畫面右邊「伺服器憑證」。

5

三、點選「完成憑證要求」。

四、選擇至憑證管理中心申請之 SSL 憑證，並輸入好記名稱(一般填寫 Domain Name)。

6

五、步驟 4 按「確定」，出現完成憑證要求的畫面。

7

六、請至下列網址下載 3 張憑證：  GRCA 自發憑證(GRCA1 簽 GRCA1.5) 

http://grca.nat.gov.tw/repository/Certs/GRCA1_to_GRCA1_5.cer GRCA 自發憑證(GRCA1.5 簽 GRCA2)



http://grca.nat.gov.tw/repository/Certs/GRCA1_5_to_GRCA2.cer GCA2 自簽憑證

http://gca.nat.gov.tw/repository/Certs/GCA2.cer 七、接著要安裝 GRCA 自發憑證及 GCA2 憑證。 請先點選「開始」→輸入「mmc」→按下「Enter」。

8

9

八、選擇「新增/移除嵌入式管理單元」。

九、接著點選「憑證」→「新增」。

選擇「電腦帳戶」→「下一步」→「完成」。

10

最後按下「確定」。

11

十、匯入第 1 張自發憑證。在「中繼憑證授權」下的「憑證」按下右鍵，選擇「所 有工作」→「匯入」。

出現以下畫面後，點選「下一步」→「下一步」→「完成」。

12

13

十一、 匯入第 2 張自發憑證。在「中繼憑證授權」下的「憑證」按下右鍵，選 擇「所有工作」→「匯入」。 14

依照上述匯入第 1 張 GRCA 自發憑證的步驟，匯入第 2 張自發憑證。

匯入成功後，可以看到 GRCA 的 2 張自發憑證。 15

十二、 匯入 GCA2 憑證。在「中繼憑證授權」下的「憑證」按下右鍵，選擇「所 有工作」→「匯入」。

依照上述匯入 GRCA 自發憑證的步驟，匯入 GCA2 中繼憑證。

16

成功匯入後，可以看到 GCA2 的中繼憑證。

十三、 點選要安裝的站台，本手冊以(Default Web Site)進行說明，選擇「繫 結」 新增類型『https』 、連接埠 『443』 ，選擇要安裝在此站台之 SSL 17

憑證(www.test.com.tw) 。

十四、 依照您的網路架構，您可能需要於防火牆開啟對應 https 的 port。

18

附件一：停用 SSLv2、SSLv3 一、開啟登錄檔編輯程式，依照以下路徑找到 SSL2.0。 HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProvider s\SCHANNEL\Protocols\SSL 2.0

二、在 SSL2.0 資料夾上按右鍵→新增→機碼，然後輸入「Server」。

19

三、接著在剛剛建立 Server 的資料夾下按右鍵→新增→DWORD(32-位元)值，然 後輸入「Enabled」，並確認資料欄位值為「0x00000000 (0)」，若不是，請 手動將值改為 0。

20

四、依照以下路徑找到 SSL3.0 HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProvider s\SCHANNEL\Protocols\SSL 3.0 若無 SSL3.0，請找到以下路徑，自行新增 SSL3.0 機碼。 HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProvider s\SCHANNEL\Protocols\ 21

五、在 SSL3.0 資料夾上按右鍵→新增→機碼，然後輸入「Server」。

22

六、接著在剛剛建立 Server 的資料夾下按右鍵→新增→DWORD(32-位元)值，然 後輸入「Enabled」，並確認資料欄位值為「0x00000000 (0)」，若不是， 請手動將值改為 0。

23

七、重新啟動電腦。啟動完成後，使用可以測試工具（註 1、註 2）進行檢測， 看 SSL 2.0、SSL3.0 是否已停用。 註 1:例如行政院國家資通安全會報技服中心網頁 http://www.icst.org.tw/NewInfoDetail.aspx?seq=1436&lang=zh 有介紹兩種檢 測伺服器端 SSL 協定的工具：(1) TestSSLServer （http://www.bolet.org/TestSSLServer/） (2) QUALYS SSL LABS SSL Server Test 檢測工具(https://www.ssllabs.com/ssltest/index.html, 也是 CA/Browser Forum 網站建議的檢測工具)可偵測伺服器所使用之加密協定，因 2014 年 10 月中國際公告了 SSLv3 加密協定存在中間人攻擊弱點，弱點編號 CVE-2014-3566 (POODLE)，故建議不要使用 SSL V3 協定，請改用 TLS 最新 協定。 註 2: 1. 若是用戶端各平台之瀏覽器要停止使用 SSL V3 協定可參考 https://zmap.io/sslv3/browsers.html 之英文說明 2. 3.

請超連結至 https://dev.ssllabs.com/ssltest/viewMyClient.html 可檢測您用戶端 之瀏覽器是否已經停用 SSL V3。 若是 I.E.瀏覽器可於工具列-> 網際網路選項->進階->安全性取消勾 選使用 SSL V3 與使用 SSL V2，或參考下圖設定（取材自行政院國家資 通安全會報技服中心網頁 http://www.icst.org.tw/NewInfoDetail.aspx?seq=1436&lang=zh） 24

25

附件二：設定 SSL 安全通道的加密強度 IIS 7.0 預設使用 AES 128 位元來進行資料加密，欲使用 AES 256 位元來進行資 料加密的話，可以參考以下步驟： 一、啟動 gpedit.msc 程式

二、選擇 SSL 組態設定，對著「SSL 加密套件順序」點兩下。

26

三、選擇「已啟用」，並修改 SSL 加密套件的欄位。 原加密套件順序： TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_S HA,TLS_RSA_WITH_RC4_128_SHA,TLS_RSA_WITH_3DES_EDE_CBC_S HA,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256,TLS_ECDHE_ ECDSA_WITH_AES_128_CBC_SHA_P384,TLS_ECDHE_ECDSA_WITH_A ES_128_CBC_SHA_P521,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SH A_P256,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384,TLS_ECD HE_ECDSA_WITH_AES_256_CBC_SHA_P521,TLS_ECDHE_RSA_WITH_ AES_128_CBC_SHA_P256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA _P384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P521,TLS_ECDHE_ RSA_WITH_AES_256_CBC_SHA_P256,TLS_ECDHE_RSA_WITH_AES_25 6_CBC_SHA_P384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P521,T LS_DHE_DSS_WITH_AES_128_CBC_SHA,TLS_DHE_DSS_WITH_AES_25 6_CBC_SHA,TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA,TLS_RSA_WI TH_RC4_128_MD5,SSL_CK_RC4_128_WITH_MD5,SSL_CK_DES_192_ED E3_CBC_WITH_MD5,TLS_RSA_WITH_NULL_MD5,TLS_RSA_WITH_NU LL_SHA 修改後的加密套件順序： TLS_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_RC4_128_SHA,T LS_RSA_WITH_3DES_EDE_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES 27

_128_CBC_SHA_P256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_ P384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P521,TLS_ECDH E_ECDSA_WITH_AES_256_CBC_SHA_P256,TLS_ECDHE_ECDSA_WITH _AES_256_CBC_SHA_P384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_ SHA_P521,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256,TLS_ECD HE_RSA_WITH_AES_128_CBC_SHA_P384,TLS_ECDHE_RSA_WITH_AE S_128_CBC_SHA_P521,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P2 56,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384,TLS_ECDHE_RS A_WITH_AES_256_CBC_SHA_P521,TLS_DHE_DSS_WITH_AES_128_CB C_SHA,TLS_DHE_DSS_WITH_AES_256_CBC_SHA,TLS_DHE_DSS_WIT H_3DES_EDE_CBC_SHA,TLS_RSA_WITH_RC4_128_MD5,SSL_CK_RC4_ 128_WITH_MD5,SSL_CK_DES_192_EDE3_CBC_WITH_MD5,TLS_RSA_W ITH_NULL_MD5,TLS_RSA_WITH_NULL_SHA

四、開啟登錄檔編輯程式。

28

五、依照下圖進行登錄檔編輯。

29

30

31

32

六、設定完成後，重開機，即可達到 AES 256 位元的加密效果。

33

34

附件三：單一 IP，多站台啟用 SSL IIS7 在只有一個 IP 的情況下，只能有一個網站使用 443 Port，針對這個狀況， TLS 協定有新增 SNI(Server Name Indication)的技術解決這個問題，但以 IIS 來說， 需 IIS8 以上版本才支援 SNI 的技術，相關支援性請參考維基百科的資訊 (https://en.wikipedia.org/wiki/Server_Name_Indication)。 基於上述原因，若需使用 SNI 的技術，必須將 Windows Server 升級到 2012 的 版本(IIS8)，或是改用其他的 Web Server(例如：Apache, Tomcat 等)。

35