问题
老系统进行安全扫描,检查出各种高危漏洞,被客户关闭了外网,其中一项便有**‘已解密的登录请求,AppScans识别了不是通过SSL发送的登录请求’**
由于IP未映射到客户域名,暂时用不上客户提供的ca证书,打算自签一个试下,看能否通过检测。
下面使用方法是转载,这个链接是原地址,写的非常详细,下面是笔者的记录过程
工具
链接:https://pan.baidu.com/s/1ZyoTkME3uuYizAZRh_et5A
提取码:ozbw
过程
C:\Users\Administrator>d:
D:\>cd OpenSSL\bin
D:\OpenSSL\bin>openssl genrsa -out D:\OpenSSL\bin\ca\ca-key.pem 1024
Loading 'screen' into random state - done
Generating RSA private key, 1024 bit long modulus
.....................................++++++
..................++++++
e is 65537 (0x10001)
D:\OpenSSL\bin>openssl req -new -out D:\OpenSSL\bin\ca\ca-req.csr -key D:\OpenSS
L\bin\ca\ca-key.pem -config openssl.cnf
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:hb
Locality Name (eg, city) []:wh
Organization Name (eg, company) [Internet Widgits Pty Ltd]:hx
Organizational Unit Name (eg, section) []:hx
Common Name (eg, YOUR name) []:hx_portal
Email Address []:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
D:\OpenSSL\bin>openssl x509 -req -in D:\OpenSSL\bin\ca\ca-req.csr -out D:\OpenSS
L\bin\ca\ca-cert.pem -signkey D:\OpenSSL\bin\ca\ca-key.pem -days 3650
Loading 'screen' into random state - done
Signature ok
subject=/C=CN/ST=hb/L=wh/O=hx/OU=hx/CN=hx_portal
Getting Private key
D:\OpenSSL\bin>keytool -genkey -alias weblogic -validity 365 -keyalg RSA -keysiz
e 1024 -keypass 1qazse4 -storepass 1qazse4 -keystore weblogic.jks
您的名字与姓氏是什么?
[Unknown]: yele
您的组织单位名称是什么?
[Unknown]: hx
您的组织名称是什么?
[Unknown]: hx
您所在的城市或区域名称是什么?
[Unknown]: wh
您所在的省/市/自治区名称是什么?
[Unknown]: wh
该单位的双字母国家/地区代码是什么?
[Unknown]: cn
CN=yele, OU=hx, O=hx, L=wh, ST=wh, C=cn是否正确?
[否]: y
Warning:
JKS 密钥库使用专用格式。建议使用 "keytool -importkeystore -srckeystore weblogic.
jks -destkeystore weblogic.jks -deststoretype pkcs12" 迁移到行业标准格式 PKCS12
。
D:\OpenSSL\bin>keytool -certreq -alias weblogic -sigalg MD5withRSA -file weblogi
c.csr -keypass 1qazse4 -keystore weblogic.jks -storepass 1qazse4
Warning:
生成的证书请求 使用的 MD5withRSA 签名算法存在安全风险。
JKS 密钥库使用专用格式。建议使用 "keytool -importkeystore -srckeystore weblogic.
jks -destkeystore weblogic.jks -deststoretype pkcs12" 迁移到行业标准格式 PKCS12
。
D:\OpenSSL\bin>openssl x509 -req -in weblogic.csr -out weblogic.pem -CA D:\OpenS
SL\bin\ca\ca-cert.pem -CAkey D:\OpenSSL\bin\ca\ca-key.pem -days 365 -set_serial
1
Loading 'screen' into random state - done
Signature ok
subject=/C=cn/ST=wh/L=wh/O=hx/OU=hx/CN=yele
Getting CA Private Key
D:\OpenSSL\bin>keytool -import -v -trustcacerts -keypass 1qazse4 -storepass 1qaz
se4 -alias root -file D:\OpenSSL\bin\ca\ca-cert.pem -keystore weblogic.jks
所有者: CN=hx_portal, OU=hx, O=hx, L=wh, ST=hb, C=CN
发布者: CN=hx_portal, OU=hx, O=hx, L=wh, ST=hb, C=CN
序列号: a5cdf4ab40b1dd4d
有效期为 Fri Jan 17 10:52:31 CST 2020 至 Mon Jan 14 10:52:31 CST 2030
证书指纹:
MD5: 86:39:C2:15:D7:D6:19:93:7D:07:5C:B4:DB:95:88:07
SHA1: B4:36:82:69:A8:BD:8A:0A:F3:94:B2:E9:A0:93:83:B3:57:7C:6F:CF
SHA256: FF:31:84:C8:0B:3B:D4:4B:92:78:B8:22:D7:9F:B5:4A:26:B6:E8:2B:4C:
21:28:DA:57:2D:74:31:19:0C:1C:00
签名算法名称: MD5withRSA (弱)
主体公共密钥算法: 1024 位 RSA 密钥
版本: 1
Warning:
输入 使用的 MD5withRSA 签名算法存在安全风险。
是否信任此证书? [否]: y
证书已添加到密钥库中
[正在存储weblogic.jks]
Warning:
JKS 密钥库使用专用格式。建议使用 "keytool -importkeystore -srckeystore weblogic.
jks -destkeystore weblogic.jks -deststoretype pkcs12" 迁移到行业标准格式 PKCS12
。
D:\OpenSSL\bin>keytool -import -v -trustcacerts -storepass 1qazse4 -alias weblog
ic -file weblogic.pem -keystore weblogic.jks
证书回复已安装在密钥库中
[正在存储weblogic.jks]
Warning:
输入 使用的 MD5withRSA 签名算法存在安全风险。
JKS 密钥库使用专用格式。建议使用 "keytool -importkeystore -srckeystore weblogic.
jks -destkeystore weblogic.jks -deststoretype pkcs12" 迁移到行业标准格式 PKCS12
。
D:\OpenSSL\bin>keytool -import -alias weblogic-ca -trustcacerts -file D:\OpenSSL
\bin\ca\ca-cert.pem -keystore weblogictrust.jks
输入密钥库口令:
再次输入新口令:
所有者: CN=hx_portal, OU=hx, O=hx, L=wh, ST=hb, C=CN
发布者: CN=hx_portal, OU=hx, O=hx, L=wh, ST=hb, C=CN
序列号: a5cdf4ab40b1dd4d
有效期为 Fri Jan 17 10:52:31 CST 2020 至 Mon Jan 14 10:52:31 CST 2030
证书指纹:
MD5: 86:39:C2:15:D7:D6:19:93:7D:07:5C:B4:DB:95:88:07
SHA1: B4:36:82:69:A8:BD:8A:0A:F3:94:B2:E9:A0:93:83:B3:57:7C:6F:CF
SHA256: FF:31:84:C8:0B:3B:D4:4B:92:78:B8:22:D7:9F:B5:4A:26:B6:E8:2B:4C:
21:28:DA:57:2D:74:31:19:0C:1C:00
签名算法名称: MD5withRSA (弱)
主体公共密钥算法: 1024 位 RSA 密钥
版本: 1
得到上面的文件
完成上述配置重启下
查看起来了
然后可以访问试下,这里开始犯了一个小错误而没访问到,当时很奇怪,端口也起来了,一度质疑我证书制作有问题,其实就是新端口防火墙策略没加而已,加入后访问
后记
原先高危漏洞: 已解密的登录请求,AppScans识别了不是通过SSL发送的登录请求’**
现在中危:支持不推荐使用的 SSL 版本