Certificados SSL do Windows Server 2003 R2 / IIS6 e SHA-256

Navegue suas respostas
2

Esperava que alguém pudesse me ajudar com este, pois parece haver artigos conflitantes sobre o assunto.

Eu tenho um servidor legado que executa o Windows Server 2003 R2 com o IIS6 e preciso gerar uma solicitação de certificado SSL no SHA-256.

Instalei este hotfix do MS ( link ) que deve adicionar suporte ao SHA-256.

Agora que foi instalado, como obtenho o IIS para gerar o CSR no SHA-256?

Obrigado antecipadamente

Chris

    
por Chris 22.02.2015 / 23:15

3 respostas

1

Existem algumas atualizações que adicionam suporte ao SHA-256 no Windows Server 2003. O que você precisa é KB2868626 ; Quando instalada, esta atualização permitirá que você instale certificados SSL SHA-256 no Server 2003 SP2. Você pode querer instalar os abaixo também para poder se conectar ao seu próprio site.

O

KB938397 adiciona suporte ao SHA-256 ao Server 2003 (SP1 ou SP2). Esta atualização só permite que o Server 2003 se conecte a sites que estão usando certificados SHA-256, mas não pode realizá-los por conta própria (para isso, você precisa do KB2868626 acima). Há uma atualização adicional do SHA-2 em que XP & Os clientes do Server 2003 não podem obter certificados SHA-256 do Windows Server 2008, ou seja, KB968730 .

Com relação à geração de CSR, se você estiver comprando um certificado de uma autoridade de certificação pública, não precisará especificar o algoritmo de assinatura no CSR. A CA emitirá seu certificado assinado com SHA1 ou SHA2 dependendo de sua seleção e / ou da política de emissão da CA.

Eu olhei para ele e não vejo uma maneira no Server 2003 para criar um CSR SHA-256. Existe um utilitário chamado "Certreq" embutido no Windows. Não vejo HashAlgorithm na versão do certreq do Server 2003 , mas está presente nas versões posteriores .

Uma outra referência que encontrei foi a criação de uma solicitação personalizada por meio do MMC. No tutorial , ele faz referência à seleção de um algoritmo de hash, mas a captura de tela não corresponde. Pode valer a pena investigar.

Alguns recursos adicionais:

  1. SHA-2 e Windows
  2. Perguntas comuns sobre SHA- 2 e Windows
  3. Artigo detalhado de Compatibilidade com SHA-2 .
por 07.07.2015 / 21:27
0

Não existe uma Solicitação de Certificado SSL no SHA-256.

Ao criar um CSR, você só pode escolher o tamanho (1024 bits-4096 bits).
Você precisa enviar esse CSR para uma autoridade de certificação que assinará para você. Muito provavelmente, eles assinarão por padrão com uma assinatura SHA-256 ou fornecerão uma caixa de listagem para escolher entre SHA1 e SHA-256.

Atualização: parece que um CSR também está assinado. O Windows faz isso por padrão com o SHA-1, mas pesquisar no Google por "iis csr sha256" encontra muitos indicadores.

    
por 24.02.2015 / 20:18
0

Acho que, em vez de gerar o CSR no IIS6, é melhor ir para outro servidor que esteja executando a versão mais recente, como o Windows 2008R2 ou o 2012R2, para gerar o CSR e enviá-lo para sua CA. Após obter o certificado, exporte-o para o arquivo .pfx e, em seguida, volte para o servidor 2003R2, copie e importe-o. Eu já consegui fazer isso em uma das minhas caixas 2003R2.

    
por 26.01.2018 / 02:03

Tags

Importando um certificado e concedendo permissões no Windows Server 2012 R2 Criptografar arquivos antes de enviar para o Bittorrent Sync