この件に関しては矛盾する記事があるようなので、誰かが助けてくれることを期待していました。
IIS6 を搭載した Windows Server 2003 R2 を実行しているレガシー サーバーがあり、SHA-256 で SSL 証明書要求を生成する必要があります。
MSからこの修正プログラムをインストールしました(http://support.microsoft.com/kb/948963) は SHA-256 サポートを追加するはずです。
インストールが完了したら、IIS で SHA-256 で CSR を生成するにはどうすればよいでしょうか?
前もって感謝します
クリス
答え1
Windows Server 2003にSHA-256サポートを追加するアップデートがいくつかあります。必要なのはKB2868626; この更新プログラムをインストールすると、Server 2003 SP2 に SHA-256 SSL 証明書をインストールできるようになります。自分のサイトに接続できるように、以下の証明書もインストールすることをお勧めします。
KB938397Server 2003 (SP1 または SP2) に SHA-256 サポートを追加します。この更新プログラムは、Server 2003 が SHA-256 証明書を使用しているサイトに接続できるようにするだけですが、証明書自体を提供することはできません (そのためには上記の KB2868626 が必要です)。XP および Server 2003 クライアントが Windows Server 2008 から SHA-256 証明書を取得できない追加の SHA-2 更新プログラムがあります。KB968730。
CSR の生成に関しては、パブリック CA から証明書を購入する場合、CSR で署名アルゴリズムを指定する必要はありません。CA は、選択内容や CA の発行ポリシーに応じて、SHA1 または SHA2 で署名された証明書を発行します。
調べてみたところ、Server 2003でSHA-256 CSRを作成する方法は見つかりませんでした。Windowsには「Certreq」というユーティリティが組み込まれています。HashAlgorithmは見つかりません。certreq の Server 2003 バージョン、しかし、それは存在する後のバージョン。
私が見つけたもう 1 つの参考資料は、MMC を介してカスタム要求を作成することでした。チュートリアルではハッシュ アルゴリズムの選択について言及していますが、スクリーンショットが一致しません。調査する価値があるかもしれません。
追加のリソース:
答え2
SHA-256 には SSL 証明書要求というものはありません。
CSR を作成するときは、サイズ (1024 ビット - 4096 ビット) のみを選択できます。
その CSR を、署名してくれる証明機関に送信する必要があります。ほとんどの場合、デフォルトで SHA-256 署名で署名するか、SHA1 と SHA-256 のいずれかを選択するリストボックスが提供されます。
更新: CSR も実際に署名されているようです。Windows ではデフォルトで SHA-1 で署名されますが、Google で「iis csr sha256」を検索すると、多くのヒントが見つかります。
答え3
IIS6 で CSR を生成する代わりに、Windows 2008R2 や 2012R2 などの新しいバージョンを実行している他のサーバーに移動して CSR を生成し、それを CA に送信する方がよいと思います。証明書を取得したら、それを .pfx ファイルにエクスポートし、2003R2 サーバーに戻ってコピーし、インポートします。私はすでに 2003R2 ボックスの 1 つでこれを正常に実行しています。