华三交换机 SSL证书使用了弱hash算法(CVE-2005-4900)
- 0关注
- 0收藏,1375浏览
问题描述:
漏洞扫描出了交换机 SSL证书使用了弱hash算法(CVE-2005-4900)
组网及组网描述:
华三S5130-G
- 2025-05-06提问
- 举报
-
(0)
最佳答案
针对华三交换机SSL证书使用弱哈希算法(如CVE-2005-4900相关问题)的解决方案如下:
解决方法:
1. 升级设备版本
将交换机升级到支持安全增强级别(security-enhanced level)的版本(如R6351P03及以上)。新版本默认禁用MD5等弱哈希算法,并强制使用SHA-256/SHA-384等强算法。
2. 替换SSL证书为强哈希算法证书
使用SHA-256或SHA-384算法生成服务器证书,避免使用MD5或SHA-1等弱算法。
通过PKI域导入新证书:
[H3C] pki import domain sslvpn der ca filename certnew.cer
[H3C] pki import domain sslvpn p12 local filename server.pfx
3. 启用安全增强模式
配置安全增强级别为2,自动禁用弱加密套件和哈希算法:
[H3C] security-enhanced level 2
[H3C] undo http enable
[H3C] undo https enable
[H3C] http enable
[H3C] https ssl-server-policy <policy-name> enable
4. 手动调整SSL策略(可选)
若未升级版本,可手动修改SSL策略,排除弱算法:
[H3C] ssl server-policy <policy-name>
[H3C-ssl-server-policy] ciphersuite rsa_aes_256_cbc_sha256 # 选择非MD5/SHA-1的套件
[H3C-ssl-server-policy] quit
[H3C] ip https ssl-server-policy <policy-name>
[H3C] ip https enable
以上方案通过升级固件、更新证书及配置安全策略,有效规避弱哈希算法漏洞。
- 2025-05-06回答
- 评论(0)
- 举报
-
(0)
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论