一些服务器在安全扫描时出现以下消息:
以下证书位于远程主机发送的证书链的顶部,但它是由未知的证书颁发机构签名的。|主题:CN=serverabc.local | 发行者:CN=serverabc.local
扫描中引用的端口是 port3389(RDP)。每台服务器上的默认 RDP 证书(在远程桌面证书存储中)是自签名且仍然有效。
我认为问题在于证书是自签名的,而不是由 CA 签名的。
以下步骤可以解决这个问题吗?
- 创建内部证书颁发机构
- 生成新的企业社会责任对于易受攻击的服务器
- 使用上述 CA 签署新创建的 CSR
- 将远程桌面证书存储中当前(现有)的自签名 RDP 证书替换为每台存在漏洞的服务器上的 CA 签名证书
有没有潜在问题用 CA 签名的证书替换现有证书吗?
我将非常感激任何有关解决此问题的帮助/指导,谢谢。
答案1
内部 CA 颁发的证书只会受到证书存储中拥有该证书的客户端(您的域成员和您安装证书的其他基础设施)的信任,而安全扫描器肯定不会拥有这些证书。
要使用安全扫描器信任的证书,您肯定需要购买商业证书。