Ativando o Suporte ao Certificado SHA2 no Windows Server 2003

11

Um pouco de informação de fundo primeiro. Eu tenho um pacote SSIS que é executado dentro de um ambiente de 32 bits do Windows Server 2003 SP2. O pacote recentemente começou a falhar com o seguinte erro durante uma tarefa de script que faz o download de uma página da Web usando uma conexão SSL:

"The underlying connection was closed: Could not establish trust relationship for the SSL/TLS secure channel.

Algumas pesquisas revelaram algumas coisas: eu também não consegui acessar o site em questão usando o IE8 do servidor (posso usar o Firefox), e o site acaba de receber um novo certificado SHA256.

Depois de fazer algumas pesquisas, minha suposição atual é que o problema é que eu não tenho suporte para certificados SHA2 neste servidor. Peguei o certificado do site e executei CertUtil -verify [cert file] , o que dá o seguinte resultado:

 The signature of the certificate can not be verified. 0x80096004 (-2146869244)

Encontrei alguns hotfixes da Microsoft e, pelo que entendi, qualquer um deles deve ativar o suporte a certificados SHA2:

Então eu solicitei o hotfix para o kb968730 e tentei instalá-lo, mas recebi o seguinte erro:

The installation cannot continue because the following packages might not be valid:
    KB2616676_V2 c:\windows\system32\dllcache\crypt32.dll 5.131.3790.4905
    KB2616676_V2 c:\windows\system32\crypt32.dll          5.131.3790.4905
Reinstall the packages listed above, and then reinstall KB968730

A versão da biblioteca crypt32 incluída com o hotfix é 5.131.3790.4477, o que explica por que o instalador não prossegue.

Neste ponto, não sei bem o que preciso fazer. O artigo kb968730 indica que crypt32.dll é o único arquivo que é atualizado pelo hotfix que me faz pensar, como eu já tenho uma versão mais nova, não deveria ter essa funcionalidade? Mas, parece que não, a menos que eu esteja errado sobre a causa raiz do problema.

    
por grin0048 20.06.2014 / 17:25

3 respostas

4

A versão Crypt32.dll 5.131.3790.5235 corrige o problema (após uma reinicialização). Está disponível em link

A versão instalada anteriormente era a versão 5.131.3790.5014 e não corrigiu o problema. De acordo com este post ( link ), há duas variantes da versão 5014: uma do Windows Update (KB2661254 , não funciona) e outro como um QFE (KB968730).

    
por 29.09.2014 / 19:50
2

Esse problema foi resolvido com a instalação do KB3072630 , que é instalado automaticamente se você tiver o Windows Update ativado. O número da versão do Crypt32.dll é 5.131.3790.5668 após a atualização.

KB938397 e KB968730 foram descontinuados e substituídos pela atualização acima.

    
por 19.01.2016 / 04:59
0

Eu também recebi esse erro. Eu iria em frente e instalaria o certificado no servidor designado e obteria esse erro. Minha solução foi que eu tive que ir em frente e instalar o certificado raiz / intermediário em cada servidor que chamou esse certificado específico. Isto foi provavelmente porque eu tinha acabado de atualizar minha CA interna.

Portanto, se houver uma quantidade X de servidores que chamam esse certificado, instale-o nesses servidores. Isso cuidou do meu problema.

    
por 28.09.2016 / 16:56