Tags: | Categories: Administration, Azure, IIS Posted by Christoph on 13.11.2014 10:11 | Kommentare (0)
Nachdem die Poodle Attacken CVE-2014-3566 in der Öffentlichkeit stehen gibt es für Windows Server ein einfaches (GUI) Tool, um das veraltete SSL V3 Protokoll komplett zu deaktivieren:https://www.nartac.com/Products/IISCrypto/Default.aspxDamit kann mit einem Click und einem Neustart das Protokoll abgeschaltet und unsichere Hash Methode deaktiviert werden.Wenn das Web unter Microsoft Azure WebSites läuft ist SSL V3 bereits von Microsoft deaktiviert worden, und für WebRollen gibt's hier eine Anleitung dazu:http://azure.microsoft.com/blog/2014/10/19/how-to-disable-ssl-3-0-in-azure-websites-roles-and-virtual-machines/
Tags: , , | Categories: Azure Posted by Christoph on 20.09.2011 16:47 | Kommentare (0)
In einem Kundenprojekt benötigen wir SSL in einer Azure Websolle. Dafür habe ich auf meinem Rechner ein Cert Request erstellt, diesen von Thawte signieren lassen und wieder bei mir abgeschlossen. Damit habe ich bei mir ein gültiges SSL Cert in meinem Cert Store. Dieses Cert habe ich nun,  mit dem Zertifikats Snap-In der mmc, in eine pfx Datei exportiert und den Privaten Schlüssel mit exportiert. Dieses pfx kann ich nun in der Azure Admin Konsole zu der Webrole hochladen. Dann kann ich im Visual Studio noch ebenfals das Zertifikat mitgeben und dieser den https Endpunkt erlauben. Dann wird das Ganze zu Azure deployed uns startet dann. so weit, so gut. Nun wurden aber letztes Jahr die Schlüssellängen von 1024 auf 2048 Bit verlängert, so dass der IIS neue Root Zertifikate braucht, um die Certs korrekt auszuliefern. Jetzt also noch das neue Root Cert runtergeladen, und dann? Das Root Cert muss in der Webrolle mittels eines Startup-Task installiert werden. Dazu das Cert (z.B. “ssl123_pkcs7.cer”)  in das Webroot des Projektes legen und noch im Webroot ein neues Script (z.B. Startup.cmd, wichtig: ANDI codierung benutzen!) anlegen mit “certutil -f -addstore root ssl123_pkcs7.cer”. Beiden als Eigenschaft noch als “Eigenschaft “Copy to Output Directory: Copy always”  geben und dieses dann neu deployen. Ich habe dieses aus folgenden Seiten Zusammen gebastelt: http://blogs.msdn.com/b/avkashchauhan/archive/2011/05/27/how-to-add-certificate-in-your-azure-vm-using-startup-task.aspx http://blog.smarx.com/posts/introduction-to-windows-azure-startup-tasks http://msdn.microsoft.com/en-us/library/windowsazure/gg456327.aspx