Ich hatte gehofft, dass mir jemand dabei helfen könnte, da es zu diesem Thema widersprüchliche Artikel zu geben scheint.
Ich habe einen Legacy-Server, auf dem Windows Server 2003 R2 mit IIS6 läuft, und muss eine SSL-Zertifikatsanforderung in SHA-256 generieren.
Ich habe diesen Hotfix von MS installiert (http://support.microsoft.com/kb/948963), das SHA-256-Unterstützung hinzufügen soll.
Wie bringe ich IIS nach der Installation nun dazu, die CSR in SHA-256 zu generieren?
Dank im Voraus
Chris
Antwort1
Es gibt einige Updates, die SHA-256-Unterstützung in Windows Server 2003 hinzufügen. Das, was Sie brauchen, istKB2868626; Wenn dieses Update installiert ist, können Sie SHA-256-SSL-Zertifikate auf Server 2003 SP2 installieren. Möglicherweise möchten Sie auch die folgenden installieren, damit Sie eine Verbindung zu Ihrer eigenen Site herstellen können.
KB938397fügt SHA-256-Unterstützung für Server 2003 (SP1 oder SP2) hinzu. Dieses Update ermöglicht Server 2003 nur die Verbindung zu Sites, die SHA-256-Zertifikate verwenden, kann diese aber nicht selbst bereitstellen (dafür benötigen Sie das obige KB2868626). Es gibt ein zusätzliches SHA-2-Update, mit dem XP- und Server 2003-Clients keine SHA-256-Zertifikate von Windows Server 2008 erhalten können, d. h.KB968730.
Wenn Sie ein Zertifikat von einer öffentlichen Zertifizierungsstelle kaufen, müssen Sie den Signaturalgorithmus in der CSR nicht angeben. Die Zertifizierungsstelle stellt Ihr Zertifikat mit SHA1 oder SHA2 signiert aus, je nach Ihrer Auswahl und/oder der Ausstellungsrichtlinie der Zertifizierungsstelle.
Ich habe es mir angesehen und sehe keine Möglichkeit in Server 2003, eine SHA-256-CSR zu erstellen. In Windows ist ein Dienstprogramm namens „Certreq“ integriert. Ich sehe HashAlgorithm nicht in derServer 2003-Version von Certreq, aber es ist vorhanden inspätere Versionen.
Ein weiterer Hinweis, den ich gefunden habe, war das Erstellen einer benutzerdefinierten Anfrage über die MMC.Im TutorialEs wird auf die Auswahl eines Hash-Algorithmus verwiesen, aber der Screenshot stimmt nicht überein. Es könnte sich lohnen, das zu untersuchen.
Einige zusätzliche Ressourcen:
- SHA-2 und Windows
- Häufige Fragen zu SHA-2 und Windows
- DetaillierteSHA-2-KompatibilitätArtikel.
Antwort2
So etwas wie eine SSL-Zertifikatsanforderung gibt es in SHA-256 nicht.
Beim Erstellen einer CSR können Sie nur die Größe (1024 Bit – 4096 Bit) auswählen.
Sie müssen diese CSR an eine Zertifizierungsstelle senden, die sie für Sie signiert. Sehr wahrscheinlich signieren sie sie standardmäßig mit einer SHA-256-Signatur oder stellen eine Listbox zur Auswahl zwischen SHA1 und SHA-256 bereit.
Update: Es scheint, dass ein CSR tatsächlich auch signiert ist. Windows macht das standardmäßig mit SHA-1, aber eine Google-Suche nach „iis csr sha256“ liefert viele Hinweise.
Antwort3
Ich denke, anstatt die CSR in IIS6 zu generieren, ist es besser, zu einem anderen Server mit einer neueren Version wie Windows 2008R2 oder 2012R2 zu gehen, um die CSR zu generieren, und sie dann an Ihre Zertifizierungsstelle zu senden. Nachdem Sie das Zertifikat erhalten haben, exportieren Sie es in die PFX-Datei und gehen Sie dann zurück zum 2003R2-Server, kopieren und importieren Sie es. Ich habe dies bereits erfolgreich auf einer meiner 2003R2-Boxen erledigt.