華三交換機 SSL證書使用了弱hash算法(CVE-2005-4900)

關閉http及https服務使用，或者單獨進行加固，允許可以訪問的地址

針對華三交換機SSL證書使用弱哈希算法（如CVE-2005-4900相關問題）的解決方案如下：

 解決方法：

1. 升級設備版本 

   將交換機升級到支持安全增強級別（security-enhanced level）的版本（如R6351P03及以上）。新版本默認禁用MD5等弱哈希算法，並強製使用SHA-256/SHA-384等強算法。

2. 替換SSL證書為強哈希算法證書 

   使用SHA-256或SHA-384算法生成服務器證書，避免使用MD5或SHA-1等弱算法。 

   通過PKI域導入新證書：

     [H3C] pki import domain sslvpn der ca filename certnew.cer

     [H3C] pki import domain sslvpn p12 local filename server.pfx

3. 啟用安全增強模式 

   配置安全增強級別為2，自動禁用弱加密套件和哈希算法：

   [H3C] security-enhanced level 2

   [H3C] undo http enable

   [H3C] undo https enable

   [H3C] http enable

   [H3C] https ssl-server-policy <policy-name> enable

4. 手動調整SSL策略（可選） 

   若未升級版本，可手動修改SSL策略，排除弱算法：

   [H3C] ssl server-policy <policy-name>

   [H3C-ssl-server-policy] ciphersuite rsa_aes_256_cbc_sha256  # 選擇非MD5/SHA-1的套件

   [H3C-ssl-server-policy] quit

   [H3C] ip https ssl-server-policy <policy-name>

   [H3C] ip https enable