好物市集：mozilla SSL組態產生器

前2集(1)(2)，前同事在 FB 上給了很多指教，受益非淺（術業有專攻），其中有個 moz://a SSL Configuration Generator 好工具，真的是相見恨晚，非常值得介紹給大家。

NGINX的SSL TLS與Security Header的安全性強化

前一篇，在取得 NGINX 可用的憑證格式與套用後，就開始以 HTTPS 來連線與測試。但 nginx.conf 裡還有許多安全性設定值可以調整。

1. NGINX HTTP Server 組態
2. SSL/TLS 組態
3. Security Header 組態

為NGINX for Windows設定HTTPS的SSL/TLS憑證

故事是這樣，我們需要為NGINX（for Windows）服務加上 HTTPS 的 SSL/TLS 憑證。公司提供的是 .pfx 檔（PFX容器形式的憑證，PKCS#12格式），通常在 Windows Server/IIS Server 上使用沒什麼難度，一、匯入 .pfx 到 Windows Server；二、到 IIS Server 設定匯入 SSL/TLS 憑證。後來研究發現，NGINX 無法直接使用 .pfx 檔來設定，也是說需要轉換格式後才能提供 Linux Based 的應用程式來使用。

使用PowerShell快速確認TLS憑證資訊

看到黑大的自製網站 TLS 憑證 CLI 快速檢視工具，剛好我有點處理TLS憑證的經驗，也來獻醜一下。情境是這樣，在我們B2B資料交換系統上有許多第三方廠商的TLS憑證，想當然，這些TLS憑證用於資料交換加解密，因此很重要。現行規範是一年更新一次TLS憑證，但，就是有廠商會忘記通知我們更新TLS憑證。通常知道都是已經出事了。

如何在 Windows(非IIS) 製作 SHA2(SHA256) 的 .csr 憑證簽章檔案

今天在申請 SSL 憑證被單位告知，使用 IIS 產出的 CSR 採用的 SHA1 演算法已被破解(就找到的新聞來看，是被認為不安全，各大公司有計畫性的淘汰 SHA1，例如：SSL 和程式碼簽章憑證的 SHA-1 雜湊演算法移轉 - 以 SHA-2 憑證取代 SHA-1 憑證、HTTPS網站被Chrome打臉？)，需改用 SHA2(SHA256) 重新製作，但找了半天也沒找到 IIS 在建立憑證簽章請求的 GUI 中可以選擇 SHA2 演算法，後來才知道，使用 IIS GUI 來產生的 .csr 憑證檔案預設都是使用 SHA1 演算法。那麼怎麼辦呢？

還好小弟自己每年要為 kkbruce.tw 申請與安裝 SSL，剛好略懂 SSL 的申請與安裝，不然如果直覺下關鍵字「iis sha2 csr」(我還是有下啦)，那些方法看完頭都昏了。

解決使用Certreq.exe取得SSL憑證發生0x80092004錯誤

自從G大(谷歌)說，我要提升使用HTTPS網站排名之後，慢慢網站的世界有了改變。啟用HTTPS的網站比例不斷升高。例如，kkbruce.tw就啟用了HTTPS。這裡感謝DigiCert提供免費的SSL憑證。

更新SSL憑證

kkbruce.tw是建置在Microsoft Azure之上，而且現在Microsoft Azure上的文件寫的還不錯，新的一年到來，也到了要更新kkbruce.tw的SSL憑證時間，要更新SSL憑證可以參考針對 Azure App Service 中的 App 啟用 HTTPS的內容。在取得SSL憑證，我採用的是使用 Certreq.exe 取得憑證。

1. 參考產生 kkbruce.csr
2. 將 kkbruce.csr 上傳(或copy內容) 至 CA 單位。(選擇所使用者網頁伺服器，這裡我選IIS 8)
3. 下載 *.cer 檔進行匯入作業。
4. certreq -accept -user www_kkbruce_tw.cer

如圖，我在第四步碰到些問題：