這兩天有個項目被掃描器報了幾個中危，都是SSL證書的問題。記錄一下解決方案吧。

第一個問題：SSL Certificate Signed Using Weak Hashing Algorithm

這裏的原因是因為使用弱算法簽名的證書。

解決方案查了下總結下來是換算法。

操作步驟：

　　1、從證書頒發機構安裝服務器的身份驗證證書

　　2、在註冊表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp中配置自定義的證書來支持 TLS 而不是使用默認的自簽名的證書的證書的 SHA1 哈希。

　　　　新建值的名稱：SSLCertificateSHA1Hash

　　　　　　值類型：REG_BINARY

　　　　　　值數據：證書指紋

1. 這個值應由逗號分隔的證書的指紋，並沒有空格。例如，如果您要導出該註冊表項的 SSLCertificateSHA1Hash 值如下所示：
   
   "SSLCertificateSHA1Hash"= hex： 42，49，e1，6e，0a，f0，a0，2e，63，c4，5、 93、 fd，52，ad，09、 27、 82，1b，01
   
   註意： 需要直接編輯註冊表，因為在 Windows 客戶端配置服務器證書的 SKUs 沒有用戶界面。
   
   
2. 在網絡服務帳戶下運行遠程桌面主機服務。因此，有必要設置 RDS （由 SSLCertificateSHA1Hash 註冊表值中指定的證書引用） 所使用的密鑰文件的 ACL 具有"讀取"權限包括網絡服務。若要修改權限，請按照以下步驟：
   
   打開證書管理單元中的本地計算機：
   
   
1. 單擊開始，單擊運行，鍵入mmc，請單擊確定。
   
   
2. 在文件菜單上單擊添加/刪除管理單元。
   
   
3. 在添加或刪除管理單元對話框中，在可用的管理單元列表中，單擊證書，並單擊添加。
   
   
4. 在證書管理單元對話框中，單擊計算機帳戶，然後單擊下一步。
   
   
5. 在選擇計算機對話框中，單擊本地計算機: （運行此控制臺的計算機），然後單擊完成。
   
   
6. 在添加或刪除管理單元對話框中，單擊確定。
   
   
7. 證書管理單元中，在控制臺樹中，展開證書 （本地計算機），展開個人，然後導航到您想要使用的 SSL 證書。
   
   
8. 用鼠標右鍵單擊證書，選擇所有任務，然後選擇管理私鑰。
   
   
9. 在權限對話框中，單擊添加，鍵入網絡服務，在允許復選框，單擊確定，選擇讀取然後單擊確定。

　　　　　　到這裏差不多就可以完成了。

SSL Medium Strength Cipher Suites Supported
　　這個問題的話也是修改註冊表，修改註冊表文件中的
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\
　　新建一個名稱為Enabled，值為0的註冊表選項即可了。
DWORD key name ‘Enabled‘ with value ‘0‘ to the cipher key with the size less than ‘128‘.

SSL Certificate Signed Using Weak Hashing Algorithm 和SSL Medium Strength Cipher Suites Supported的解決方案