飛行夾克的網路事件簿: 2021

2021年12月21日星期二

https 網站使用 free SSL part II

2018/04 寫過了一篇如何在 Windows IIS HTTPS 網站申請免費的 SSL 憑證

飛行夾克的網路事件簿 - https 網站使用 free SSL

引用一段當時的文章內容

=========================================================================

2017年1月開始，對沒有使用SSL安全認證 (HTTPS) 服務的網站， Google Chrome 瀏覽器第56版以後的版本會將該網站標示為「不安全」或「Not Secure」，而且網站是否使用SSL安全認證(HTTPS) 服務，在 Google SEO 中也列入評分的項目。

現在的商業網站配合 Google SEO，或是為了交易安全，均會導入 SSL 來提升排名或保護交易；使用的 SSL 憑證除可識別該網站的所有權，並提供加密的交易安全傳輸，此時憑證的發放單位也是一個需考慮的項目；因此，雖然網路上雖有著為數不少的免費 SSL 憑證，但一個商業網站在選擇 SSL安全認證(HTTPS) 服務時，並不會考慮使用免費的 SSL 憑證，必竟SSL憑證的年費對於一個商業網站來說是便宜的。

話說，雖然 SSL 憑證年費並不高，但開發過程中的試網站，為了驗證網站的運作，也必須為其加入完整的SSL安全認證(HTTPS)服務，但為了測試用網站付費並不實際，所以可為這個網站申請一個免費的SSL安全認證(HTTPS)服務。

目前使用的是 Let’s Encrypt 所生成的免費憑證，Let’s Encrypt 是一個免費的、自動的、開放的認證機構 (CA)，為公眾的利益而運行，它是由 Internet Security Research Group (ISRG) 提供的一項服務。唯一的限制是它的憑證有效期為90天，每隔90天需再更新一次憑證。它的另一個缺點是該網站沒有一個很好用的UI來提供憑證申請。

SSL For Free 提供了UI來完成 Let’s Encrypt 的 SLL 憑證申請，並透過註冊的帳號來管理所申請的憑證，並在憑證到期前以 eMmail 通知更新。

=========================================================================

當時使用 SSL For Free 也著實提供了相當的幫助，但就在 2020/05/19 收到來自 SSL For Free 的通知信件，信中提到它改用 Zero SSL 的憑證，內容如下：

前端的UI 操作仍相同，也有90天的憑證期限，但遇到一個新的狀況，如果是使用子網域名，它只提供了一層的架構，例如當有一個網域名為 www.beta.sample.com.tw時，它會變成 beta.sample.com.tw，這個情形下將會無法取得正確的憑證。

在這個情形下只好另尋出路。

透過 Let’s Encrypt 文章中的 ACME Client Implementations 找到了以下這個使用於 Windows IIS 的介面程式

A simple ACMEv2 client for Windows (for use with Let's Encrypt et al.)

先下載 Win-ACME 程式,並解壓縮所有檔案到網站主機上，並點選 "wacs.exe"開啟程式

開啟後的畫面如下，雖然沒有漂亮的 UI，但相關操作仍是容易的

綠色字是建議的預設選項，如果要選預設選項，可以直接按 "Enter" 鍵，也可以輸入選項再按 "Enter" 鍵。

我們先選 "N: Create Certificate (defaule settings)"

預設選項過不了，猜測可能跟IIS版本有關?? 這個問題就沒有再繼續驗證。

改選 "M: Create Certificate (full options)"

進入後，接著選 "2: Manual input"，為什麼不選預設的 "1"? 因為跟前一個選項 "N"一樣，我的環境過不了

接著給它使用這個SSL憑證的名稱，例如：www.sample.com

輸入後，會再給它一個容易辨識的名稱，預設會加上選擇的模式，例如 [Manual] www.sample.com，當然你也可以自定名稱

接下來要驗證你產生這個憑證的網站，該網站是否是你所擁有，它提供的多種驗證方式；因我的程式就在該主機上，所以直接採用預設的選項

"2: [http-01] Serve verification files from memory"

選擇 Certification Signing Request (CSR) 要用的 private key 編譯方式，預設為 "2: RSA key"

選擇這個憑證要存放的置，採用預設的 "4: Windows Certification Store"

選擇 "5: No (additional) store steps" 到下一步

接著要把產生的憑證與現有IIS網站綁定在一起，選擇

"1: Create or update https bindings in IIS"

此時會列出 Internet Information Services (IIS) 管理員中所有的站台名稱，選擇你要產生 SSL憑證的站台名稱。

選取 "4: No (additional) installation steps " 結束

終於完成SSL憑證的產出及綁定。

建立完成後可經由 "A: Manage renewals ( x Total)" 來看管理已建立憑證

依此主機為例，已完成2個網站的 SSL憑證的建立，可透過這裡來查看憑證詳細資訊，或是取消憑證等...

至此已完成在 IIS 中建立SSL憑證的完整步驟，接著你可以在 Internet Information Services (IIS) 管理員中查看已建立成的憑證。

點選 "伺服器憑證"

開啟後可看到剛才產出的SSL憑證。

點選已完成設定的網站，接著點選 "繫結"

接下來會列出這網站有綁定了那些IP位址跟連接埠，SSL 是使用 TCP Port : 443，點選 "編輯"

再次確認 IP 位置跟 SSL憑證是否相符，點選 SSL憑證的 "檢視"可看到這個SSL憑證的完整資料。

Win-ACME 在產出憑證時，也會同時建立新的排程，定時檢查SSL憑證是否過期?並依排定時間來更新所管理的SSL憑證。

所以，雖然它的憑證期限只有90天，但透過這個檢查機制可以自動延長憑證效期，使用上相當方便。

最後，在Win-ACME有2個部份需再設定

1. 為你這台伺服器建立一個 ACME 帳號

選擇 O: More options...

第一次執行時會要求輸入聯絡人的 email，再次進來時可看到原始申請時的 IP及 email。

後續進入時會詢間是否要變更 email 。

2. 測試通知郵件是否正常

選擇 E: Test email notification ，此時會出現以下訊息

"Email notifications not enabled. Input an SMTP server, sender and receiver in settings.json to enable this."

在程式所在的目錄下，有一個 settings.json 檔案，你必需開啟並找到 "Notification" 這段

你可依自己的環境來設定相關參數，我設定了以下幾個參數

SmtpServer

SenderName

SenderAddress

ReceiverAddresses

完成後需重啟 Win-ACME 程式，讓系統帶入相關設定參數。

再次測試通知郵件是否正常，當憑證更新有問題時，系統就會自動發送通知給你了。

終於，完成了。。。

2021年12月13日星期一

Exchange Server 2016 執行 cumulative update (累積更新) 後，SMTP 功能異常

最近在執行 Exchange Server 2016 cumulative update 22 (累積更新22) 時一直遇到問題，更新後OWA 無法執行，或無法正常完成更新。

透過更新前的快照回復到先前版本，卻又遇到了另一個的問題：本地端AP呼叫 SMTP失敗，可透過 Telnet 連上 SMTP Server，執行 "HELO"命令也有回應，但執行 "MAIL FROM:< xxx@xxx.com.tw> 時卻回應 "421 4.3.2 Service not active" 。

查看 Server 端的服務，自動啟動的部份均已正常執行。

上 Google 找了很久才發現是以下問題：

Exchange Server 在執行累積更新時，會先將服設定成 Maintenance Mode ，並將服務元件設成 "inActive"，如果正常更新完成應該會回復到 "Active"

可透過以下命令查詢，以下所有命令需由 "Exchange Management Shell" 執行

Get-ServerComponentState -Identity <ServerName>

* <ServerName> 為 Exchange Server 名稱

查詢後發現果然兩台狀態不一樣，有問題的幾乎所有的服務元件均為 "inActive"

※ inActive : EX3

※ Active : EX5

接著透過以下命令來變更其狀態

Set-ServerComponentState -Identity <ServerName> -Component ServerWideOffline -State Active -Requester Functional

* <ServerName> 為 Exchange Server 名稱

執行後再次透過 Get-ServerComponentState -Identity <ServerName> 查詢，發現本的服務元件均已變為 "Active"。

如果還有未啟用的服務元件，再透過命令逐一變更

Set-ServerComponentState -Identity <ServerName> -Component <ComponentName> -State Active -Requester Functional

* <ServerName> 為 Exchange Server 名稱
* <ComponentName> 為服務元件名稱

也可透過以下命令查詢該元件的 Requester 是誰

(Get-ServerComponentState -Identity <ServerName> -Component ServerWideOffline).LocalStates

* <ServerName> 為 Exchange Server 名稱

確認服務元件啟用後，驗證SMTP 服務已可正常運作。

參考內容：

1. Get-ServerComponentState

2. Set-ServerComponentState

3. 當您執行 Exchange 維護腳本或 Set-ServerComponentState 時，事件7031

4. 決定已變更之伺服器元件狀態的要求者

5. Exchange 2013 421 4.3.2 Service not active

6. Exchange 2016 sent mails go to drafts – 421 4.3.2 Service not active

2021年12月8日星期三

Microsoft OneDrive 及 SharePoint 儲存空間升級，從 5TB 到 25TB

越來越多的企業開始使用 Microsoft 的企業授權方案，也會利用其中的 OneDrive 來存放相關的文件，除了可即時同步個人使用電腦上的檔案，並可隨時隨地從不同的載具取得自己的資料，也可透過這個功能來與工夥伴共享檔案。

Microsoft 的企業授權依不同的方案可提供不同的使用空間，依我們目前訂閱的 Office 365，提供了每個使用者帳號5TB的使用空間，這個容量可供存放郵件、檔案及共同作業。

基本上 5TB 的空間對大部份的同仁使用均相量足夠，但對少數重量級的使用者，工作上有著大量的共同作業，例如影音檔、3D圖檔、專案工作檔等，意謂著需要更多的空間來存放工作檔案。

Microsoft 的企業授權中針對 Microosft 365 E3、Office 365 E3、OneDrive for Business Plan 2、SharePoint Online Plan 2 以上的方案，均可取得預設 5 TB儲存空間。也保留了當有大量空間需求時，可將儲存空間往上增加至 25TB。

=========================================================================

當您需要個別使用者的雲端儲存空間超過初始 5 TB 時，將會授與其他雲端儲存空間，如下所示：

當使用者將其 5 TB 的 OneDrive 儲存空間填滿90% 的容量時，Microsoft 會將您的預設儲存空間增加 OneDrive 每位使用者高達 25 TB (系統管理員可能會根據使用者限制，設定其是否要) 。
對於達到 25 TB OneDrive 儲存空間至少 90% 容量的使用者，可以以 25 TB SharePoint 小組網站的形式提供額外的雲端儲存空間給個別使用者。如需詳細資訊及協助，請與 Microsoft 支援人員聯繫。
系統管理員可以檢查是否有超過 5 TB 的 OneDrive 資格，其方式是檢查是否有增加儲存體的 OneDrive 網站資格。

參考來源 : Microsoft Docs 變更特定使用者的 OneDrive 儲存空間

=========================================================================

當你有這個需求時，你可透過 Microsoft 365 admin center 來提出服務請求，當然你必須是全域管理員。

這個異動是針對單一使用者來調整，所以你必須有一個使用者，他的 OneDrive 儲存空間已達90% 的容量，申請時你必須提供這個使用者的使用量截圖，如下

提出服請求時也需附上你目前的購買授權方案供查詢。

送出服務請求後，服務人員會跟你再次確認相關內容，或是需要再次補充文件。

確認無誤後服務人員會先啟用你的權限，讓你可以透過命命來升級使用者的空間。而這個升級指令需針對個別使用者來執行升級動作，而且並不是可以針對任何使用者直接升級到25TB，而是只有當該使用者已達到原有5TB使用空間90%時，這個升級命令才會生效。

以下是服務請求確認後來自 Office 365 支援團隊的回覆

=========================================================================

感謝您的耐心等待。這邊告知您已有權限使用PowerShell執行命令升值至25TB。請跟著以下步驟：

1）請您到以下網址下載 SharePoint Management Shell。

https://docs.microsoft.com/zh-tw/powershell/sharepoint/sharepoint-online/connect-sharepoint-online?view=sharepoint-ps

2）下載安裝完成后需要以“管理員”的身份開啟SharePoint Management Shell。

您可以參考以下鏈接：

https://docs.microsoft.com/zh-tw/onedrive/set-default-storage-space

**黃色的部分需要您更改您的SharePoint 系統管理網址

Connect-SPOService -Url https://$orgName-admin.sharepoint.com

(輸入后會跳出登入賬密的畫面，您直接輸入賬號密碼即可。

成功登入后，請您輸入以下指令將容量升級至25T。

**藍色的部分記得更改用戶網址，這個可直接連上 SharePoint

Set-SPOSite -Identity https://domain-my.sharepoint.com/personal/useremail_domain_onmicrosoft_com -StorageQuota 26214400

=========================================================================

附上執行的命令

當你執行完成後，你可以再次查看你的OneDrive 可用空間

此時你可能會認為現在使用的電腦空間並沒有這麼大，使用 OneDrive 同步資料如何使用這麼大量的檔案呢?

在 Windows 10 已強化了 OneDrive 使用功能，你可以將資料與 OneDrive 同步完成後，選擇將空間釋放出來，只將檔案留在雲端上，當你需要使用時可選擇保留至個人電腦，或直接點選檔案使用，此時它可以保有你原有的目錄結構，並不會影響你的使用情境，而且可依狀況再將空間釋放。

使用 OneDrive同步，可讓你隨時隨地透過任何裝置的取用你的檔案，它還提供檔案歷程，讓你可以回復到先前的版本，就算當檔案中毒加密，也可透過檔案歷程來取回原有檔案。

另外，還有一個相當不錯的功能是當你換電腦時，當安裝完所有程式及環境，只要透過 OneDrive 的同步機制，它可以在5~10分鐘內完成你所有檔案的同步，當然它不是將所有檔案下載到你的新電腦，而是同步檔案目錄結構，所以可以快速的完成檔案還原，不需再花長時來備份及還原你的檔案。

如果你有常用的檔案，或是會在沒有網路時使用的檔案，可再事先將這檔案選在下載留在電腦上即可。

2021年2月19日星期五

資訊安全檢測之 TLS Service Supports Weak Cipher Suit

資訊安全檢測真的是一條漫長的路。

今年公司導入了資訊安全檢測系統，也陸續找出了需要修補的安全性問題。

今天來看以下這個弱點

針對這個問題點 “TLS Service Supports Weak Cipher Suite”- “TLS_RSA_WITH_3DES_EDE_CBC_SHA (0x000A)”，Google 找了相關訊息，大部份看到的都指向 SSL v2.0、SSL v3.0、TLS 1.0及TLS 1.1 的安全性漏洞，這幾個老古董透過該弱點，駭客可在加密協定建立連線時進行攻擊或解密資料，並藉此竊取傳輸資訊。各大作業系統及瀏覽器已在這幾年陸續的停用了有安全性問題的版本，目前均建議採用TLS 1.2 。

看完這些內容先針對現有使用HTTPS 的網站，透過 Qualys SSL Lab檢測其安全性，當然檢測完的結果只有 “B”，這個檢測網站除了可列出所使用 SSL 憑證的相關訊息外，也會檢查使用了那些 SSL Protocols及Cipher Suite，並列出那些具有安性問題。

Qualys SSL Lab畫面如下：

依照找到的資料先調整作業系統中有關SSL Protocols的機碼，關閉及停用SSL v2.0、SSL v3.0、TLS 1.0及TLS 1.1，啟用TLS 1.2。

相關機碼如下：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client]