论文部分内容阅读
大多数朋友还是习惯使用IE浏览器,不过有时在浏览https网页时,经常会弹出提示,说是“证书错误,导航已阻止”,只有点击“继续浏览此网站(不推荐)”链接之后才会显示网页内容,总是感觉比较麻烦…
究其原因,是由于微软对证书的密钥长度进行了限制,那些长度小于1024位的RSA证书将被阻止使用,这当然是出于安全角度的考虑。我们可以选择重新生成服务器网站的证书,但这一方法对普通用户来说,似乎有些难度。其实,我们还可以通过下面的方法进行解决:
1.卸载KB2661254
在控制面板找到“程序”,打开“卸载或更改程序”对话框,选择“查看已安装的更新”,找到“KB2661254”更新并卸载,这是一个非安全补丁。如果没有发现该更新,那么可以跳过这一步骤。
2.更改密钥长度允许值
右击开始菜单,选择“命令提示符(管理员)”,进入命令提示符环境之后,输入下列命令,执行之后会看到图中所示的效果。
certutil -setreg chain\minRSAPubKeyBitLength 512
(上述命令表示允许的最小RSA密钥长度为512)
certutil -setreg chain\EnableWeakSignatureFlags 2
(上述命令表示启用密钥少于1024位的RSA根证书)
上述命令中的“MinRsaPubKeyBitLength”是定义所允许的最小RSA密钥长度的DWORD值,默认设置下,此值并不存在,所允许的最小RSA密钥长度为1024,我们可以通过“certutil”重新定义此值。如果需要恢复为默认的1024,可以运行“certutil -delreg chain\MinRsaPubKeyBitLength”命令;“EnableWeakSignatureFlags”可以设置2、4、6、8等值,本例中的“2”表示启用时允许根证书有密钥长度少于1024位的RSA证书。
完成上述步骤之后,以后浏览网页时,就不会再遇到证书错误的尴尬了。
-王志军
究其原因,是由于微软对证书的密钥长度进行了限制,那些长度小于1024位的RSA证书将被阻止使用,这当然是出于安全角度的考虑。我们可以选择重新生成服务器网站的证书,但这一方法对普通用户来说,似乎有些难度。其实,我们还可以通过下面的方法进行解决:
1.卸载KB2661254
在控制面板找到“程序”,打开“卸载或更改程序”对话框,选择“查看已安装的更新”,找到“KB2661254”更新并卸载,这是一个非安全补丁。如果没有发现该更新,那么可以跳过这一步骤。
2.更改密钥长度允许值
右击开始菜单,选择“命令提示符(管理员)”,进入命令提示符环境之后,输入下列命令,执行之后会看到图中所示的效果。
certutil -setreg chain\minRSAPubKeyBitLength 512
(上述命令表示允许的最小RSA密钥长度为512)
certutil -setreg chain\EnableWeakSignatureFlags 2
(上述命令表示启用密钥少于1024位的RSA根证书)
上述命令中的“MinRsaPubKeyBitLength”是定义所允许的最小RSA密钥长度的DWORD值,默认设置下,此值并不存在,所允许的最小RSA密钥长度为1024,我们可以通过“certutil”重新定义此值。如果需要恢复为默认的1024,可以运行“certutil -delreg chain\MinRsaPubKeyBitLength”命令;“EnableWeakSignatureFlags”可以设置2、4、6、8等值,本例中的“2”表示启用时允许根证书有密钥长度少于1024位的RSA证书。
完成上述步骤之后,以后浏览网页时,就不会再遇到证书错误的尴尬了。
-王志军