How to Create A SHA-256 Self-Signed Certificate (Signature hash algorithm)

บทนำ (Overviews)

ขั้นตอนการสร้าง Self-sign Cert ให้ Signed โดยใช้ SHA256 อัลกอลึทึม บน IIS

 

ขั้นตอน (Steps)

  1. สามารถติดตั้ง Web Server ได้จากบทความ
  2. สามารถตรวจสอบได้ว่า มี Certificate  ถูก Signed จาก Weak hashing algorithm (e.g. MD2, MD4, MD5, หรือ SHA1 – โดย Default จะถูกโดย SHA1)  โดยใช้
    • Nessus
    • sslscan

วิธี Manual

เข้าฟังก์ชันสร้าง Certificate

  1. ไปที่ start / run แล้วพิมพ์คำสั่ง
    mmc
    

  2. ไปที่ file แล้วคลิกเลือก Add/Remove Snap-in
  3. เลือก certificates แล้วคลิก add
  4. เลือก Computer Account แล้วคลิก Next 
  5. คลิก Finish
  6. เมื่อเห็นดังรูปให้คลิก Ok จะมี เมนู snap-in ขึ้นมา

สร้าง Certificates

  1. ขยาย Certificates (Local Computer) ไปที่  Personal  คลิกขวา Certificates จากนั้นเลือก All Tasks/Advanced Operations/Create Custom Request ถ้าไม่พบโฟลเดอร์ Certificates ให้ไปสร้าง Self-siged cert แบบ Default How to enable SSL on IIS 7
  2. คลิก Next 
  3. เลือก Proceed without enrollment policy และคลิก Next
  4. คลิก next 
  5. คลิก Details/Properties/Next

ตั้งค่า Certificate ให้ปลอดภัย

  1. สำหรับการสร้าง Certificate ให้สามารถ signed ได้ด้วย Sha256 สามารถไปได้ที่ Tab Private Key/Select Hash Algorithm /Hash Algorithm/sha256 (มี hash อย่างอื่นให้เลือกด้วย เช่น MD2, MD4, MD5, หรือ SHA1 )
  2. จากนั้นคลิก  Apply/Ok
  3. คลิก Browse และตั้งชื่อ CertName.cer จากนั้นคลิก Finish
  4. เข้าไปที่ Certificate Enrollment Requests และ certificates จะพบ Certificate ใหม่ที่สร้างขึ้นมา
  5. คลิกขวาที่ Certificats สร้างใหม่จากนั้น Copy
  6. ไปวางไว้ที่ Certificates (Local Computer) ไปที่  Personal  คลิกขวา Certificates
  7. ตรวจสอบให้แน่ใจว่า ที่ Register เปิดเฉพาะ RSA256 เท่านั้น ส่วนที่ Weak เช่น MD2, MD4, MD5, หรือ SHA1 ถูกปิด ดังนี้
  8. คลิก  StartRun, พิมพ์ regedit, และคลิก OK
  9. ให้ไปที่
    HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\Hashes
    
  10. แล้วเปลี่ยนค่า SHA256 เป็น Enable (ffffffff) ดังรูป
  11. แล้วเปลี่ยนค่าอื่น เช่น MD5 และ SHA เป็น Disable (0)

 

 


เชื่อมต่อ Certificates

  1. เปิด IIS manager   Start-> All Programs -> Administrative Tools -> IIS manager.
  2. เลือก Default Web site ดังรูป
  3. ทางด้านขวาคลิก Bindings… ใน Actions pane. 
  4. เลือก https และ เลือก Certificate ที่เราสร้างเข้ามา 
  5. จะมี  https โผล่ขึ้นมา
  6. คลิกที่ Browser ด้านขวาที่เป็น 443 หรือเข้าที่ https://localhost/ เมื่อสามารถเข้าถึงได้ให้ตรวจสอบ Certificates จะพบว่าเป็น Signature hash algorithm จะเป็น

 

อ้างอิง (Referrences)

 

ใส่ความเห็น