背景
某司业务系统被扫描到漏洞2个,被禁止业务上线,同事联系我来协同解决该故障。
1 使用弱哈希算法签名的SSL证书(CVE-2004-2761) 高
2 SSL RC4 加密套件支持检测 (Bar Mitzvah) 中
收集信息
该漏洞为mssql服务暴露,而漏扫方给到的信息以及解决方案均为web服务的ssl加密问题,未有针对mssql服务的解决方案。
服务器: winserver 2012 r2 (未激活)
数据库: sql server 2012
判断处理
看到漏扫信息,漏洞端口1433,确定mssql服务。
在sql server 配置管理器-> 网络配置中查看,mssql未开启ssl加密,
查看相关文档https://docs.microsoft.com/zh-cn/sql/database-engine/configure-windows/manage-certificates?view=sql-server-ver16
用openssl生成pfx文件,证书name需要设置为主机的FQDN,生成后导入本地计算机用户-证书下。重启mmsql。
mssql客户端需要用server的FQDN去连接。
遇到的问题
openssl通用的pfx证书文件生成方式无法在winserver 2012上导入,提示密码错误(即使你没设密码)。
解决方法 https://stackoverflow.com/questions/69343254/the-password-you-entered-is-incorrect-when-importing-pfx-files-to-windows-cer
1 | openssl pkcs12 -export -certpbe PBE-SHA1-3DES -keypbe PBE-SHA1-3DES -nomac -inkey contoso.com.key -in contoso.com.crt -out contoso.com-legacy.pfx |
使用带这些参数的方式打包 pfx