บทนำ (Overviews)
ขั้นตอนการสร้าง Self-sign Cert ให้ Signed โดยใช้ SHA256 อัลกอลึทึม บน IIS
ขั้นตอน (Steps)
- สามารถติดตั้ง Web Server ได้จากบทความ
- สามารถตรวจสอบได้ว่า มี Certificate ถูก Signed จาก Weak hashing algorithm (e.g. MD2, MD4, MD5, หรือ SHA1 – โดย Default จะถูกโดย SHA1) โดยใช้
วิธี Manual
เข้าฟังก์ชันสร้าง Certificate
- ไปที่ start / run แล้วพิมพ์คำสั่ง
mmc
- ไปที่ file แล้วคลิกเลือก Add/Remove Snap-in
- เลือก certificates แล้วคลิก add
- เลือก Computer Account แล้วคลิก Next
- คลิก Finish
- เมื่อเห็นดังรูปให้คลิก Ok จะมี เมนู snap-in ขึ้นมา
สร้าง Certificates
- ขยาย Certificates (Local Computer) ไปที่ Personal คลิกขวา Certificates จากนั้นเลือก All Tasks/Advanced Operations/Create Custom Request ถ้าไม่พบโฟลเดอร์ Certificates ให้ไปสร้าง Self-siged cert แบบ Default How to enable SSL on IIS 7
- คลิก Next
- เลือก Proceed without enrollment policy และคลิก Next
- คลิก next
- คลิก Details/Properties/Next
ตั้งค่า Certificate ให้ปลอดภัย
- สำหรับการสร้าง Certificate ให้สามารถ signed ได้ด้วย Sha256 สามารถไปได้ที่ Tab Private Key/Select Hash Algorithm /Hash Algorithm/sha256 (มี hash อย่างอื่นให้เลือกด้วย เช่น MD2, MD4, MD5, หรือ SHA1 )
- จากนั้นคลิก Apply/Ok
- คลิก Browse และตั้งชื่อ CertName.cer จากนั้นคลิก Finish
- เข้าไปที่ Certificate Enrollment Requests และ certificates จะพบ Certificate ใหม่ที่สร้างขึ้นมา
- คลิกขวาที่ Certificats สร้างใหม่จากนั้น Copy
- ไปวางไว้ที่ Certificates (Local Computer) ไปที่ Personal คลิกขวา Certificates
- ตรวจสอบให้แน่ใจว่า ที่ Register เปิดเฉพาะ RSA256 เท่านั้น ส่วนที่ Weak เช่น MD2, MD4, MD5, หรือ SHA1 ถูกปิด ดังนี้
- คลิก Start, Run, พิมพ์ regedit, และคลิก OK
- ให้ไปที่
HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\Hashes
- แล้วเปลี่ยนค่า SHA256 เป็น Enable (ffffffff) ดังรูป
- แล้วเปลี่ยนค่าอื่น เช่น MD5 และ SHA เป็น Disable (0)
เชื่อมต่อ Certificates
- เปิด IIS manager Start-> All Programs -> Administrative Tools -> IIS manager.
- เลือก Default Web site ดังรูป
- ทางด้านขวาคลิก Bindings… ใน Actions pane.
- เลือก https และ เลือก Certificate ที่เราสร้างเข้ามา
- จะมี https โผล่ขึ้นมา
- คลิกที่ Browser ด้านขวาที่เป็น 443 หรือเข้าที่ https://localhost/ เมื่อสามารถเข้าถึงได้ให้ตรวจสอบ Certificates จะพบว่าเป็น Signature hash algorithm จะเป็น
อ้างอิง (Referrences)
- https://jetsupport.jetreports.com/hc/en-us/articles/235636308-How-To-Create-a-SHA-256-Self-Signed-Certificate
- https://www.day.ir/en-us/articles/ssl/create-csr-sha2-algorithm
- https://blogs.msdn.microsoft.com/mayurpatankar/2017/09/01/sha-256-self-signed-certificate-for-windows-server-2012-r2/