windows2012 IIS部署GeoTrust证书踩过的坑。
系统:windows2012环境:IIS8
在阿里云上买了GeoTrust证书, 按照说明下载证书到服务器,导入证书, 给IIS站点部署https。
阿里云部署帮助文档:https://help.aliyun.com/knowledge_detail/44596.html
第一个坑:
国内壳子浏览器: 数字,搜狗, Maxthon, webkit内核, 和IE,Edge通通ok。 但chrome浏览器52、53、54这三个版本地址栏全显示红叉”您的连接不是私密连接,攻击者可能会试图从xxx窃取您的信息“。
使用https://cryptoreport.geotrust.com/checker/views/certCheck.jsp 检测,
结果如下:Warnings SSLv3 Your server's encryption settings are vulnerable. This server uses the SSLv3 protocol, which is not secure. This server is vulnerable to:Poodle (SSLv3 protocol)This server is vulnerable to a Poodle (SSLv3) attack. windows2012 默认开启了这些,google了一把,要关闭这些, 可以手动改注册表, 也可以借用工具。 特意记录下。
[*]注册表修改脚本打包:http://files.cnblogs.com/files/jackrebel/DisableSSLv3AndRC4.reg_.zip
[*]用GUI工具:http://files.cnblogs.com/files/jackrebel/IISCrypto.zip
[*]自己动手改注册表:http://cloudacademy.com/blog/how-to-fix-poodle-on-windows-server-2012/
以上操作3选1。都是修改的注册表,都需要重启服务器。
第二个坑:
泛域名证书,加了https后, 需要把所有http链接、引用的资源都改成https, 否则浏览器依旧是警告标识。没有绿标。
修改所有代码。 如:<a href="http://www.8kmm.com/meinvheji/63027_2.html"></a>
改成: <a href="//www.8kmm.com/meinvheji/63027_2.html"><img src='//img.8kmm.com/2014/11/201411120940405748.jpg'></a>
去掉红色的http头
需要把所有引用的资源都改成https, 否则浏览器依旧是警告标识。
其它参考资料:https://blog.qualys.com/ssllabs/2014/10/15/ssl-3-is-dead-killed-by-the-poodle-attack
更全面的检查工具:https://www.ssllabs.com/ssltest/analyze.html?d=certtest.crd.cn
页:
[1]