TLS/SSL 协议变换和密码套件修改,同时TLS信任证书生成

爱被打了一巴掌 2021-11-02 05:04 1822阅读 0赞

TLS/SSL协议目前有很多TLS1.3、TLS1.2、TLS1.1、TLS1.0、SSLv3.0 、SSLv2.0,后面三个算是比较弱的密码协议。

还有密码套件:DES/MD5这些弱密码协议。修改了上面的TLS协议和密码套件后,TLS信任证书生成应用于域名。

watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzM3MjY4ODQx_size_16_color_FFFFFF_t_70

TLS协议修改:

  1. 打开注册表:

watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzM3MjY4ODQx_size_16_color_FFFFFF_t_70 1

2.备份注册表-协议导出

路径:计算机\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders

watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzM3MjY4ODQx_size_16_color_FFFFFF_t_70 2

3.修改注册表

a.禁止的协议可以在Protocol项里面新建项-名字跟需要禁止的协议的名字相同

watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzM3MjY4ODQx_size_16_color_FFFFFF_t_70 3

b.在协议的项下面新建Client和Server两个项,同时新建DisableByDefault和Enable两个DWORD(32 位)

“Enabled”=dword:00000000

“DisabledByDefault”=dword:00000001

watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzM3MjY4ODQx_size_16_color_FFFFFF_t_70 4

密码套件修改

  1. 打开本地组策略编辑器:

watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzM3MjY4ODQx_size_16_color_FFFFFF_t_70 5

2。修改路径如下:

watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzM3MjY4ODQx_size_16_color_FFFFFF_t_70 6

watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzM3MjY4ODQx_size_16_color_FFFFFF_t_70 7

3.备份【SSL密码套件】,Ctrl+A选中全部,Ctrl+c复制,在桌新建文本文件,将SSL密码套件Ctrl+V保存在文件中。(可删除或增加你想要的密码套件):

20190810102922853.png

  1. 修改上面保存的密码套件内容:

watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzM3MjY4ODQx_size_16_color_FFFFFF_t_70 8

  1. 将【SSL密码套件】进行替换,复制文本中的密码套件替换。

  2. 在【PowerShell】上查看命令Get-TlsCipherSuite

watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzM3MjY4ODQx_size_16_color_FFFFFF_t_70 9

上面的协议和密码套件修改好了,需要重新启动计算机才行,强调一定得重启。

TLS信任证书生成:

openssl生成证书命令如下:

  1. openssl genrsa -out ca.key 1024

  2. openssl req -new -key ca.key -out ca.csr

watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzM3MjY4ODQx_size_16_color_FFFFFF_t_70 10

3.dir路径查看有没有生成成功:

watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzM3MjY4ODQx_size_16_color_FFFFFF_t_70 11

因为测试需要我这边修改是将高协议去掉,上面得操作结果显示如下:

watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzM3MjY4ODQx_size_16_color_FFFFFF_t_70 12

我上面得修改点有两个:

  1. 加了证书后,从ip变成了域名

  2. 测试需要将之前的高的TLS1.2、TLS1.1的两个协议去掉了。密码套件暂时没动。

发表评论

表情:
评论列表 (有 0 条评论,1822人围观)

还没有评论,来说两句吧...

相关阅读