Certificados SSL de Windows Server 2003 R2 / IIS6 y SHA-256

Question 1

Hay algunas actualizaciones que agregan compatibilidad con SHA-256 en Windows Server 2003. La que necesita esKB2868626; cuando esté instalada, esta actualización le permitirá instalar certificados SSL SHA-256 en Server 2003 SP2. Es posible que también quieras instalar los siguientes para poder conectarte a tu propio sitio.

KB938397agrega soporte SHA-256 a Server 2003 (SP1 o SP2). Esta actualización sólo permite que Server 2003 se conecte a sitios que utilizan certificados SHA-256, pero no puede servirlos por sí solo (para eso necesita el KB2868626 anterior). Hay una actualización SHA-2 adicional donde los clientes XP y Server 2003 no pueden obtener certificados SHA-256 de Windows Server 2008, es decirKB968730.

Con respecto a la generación de CSR, si compra un certificado de una CA pública, no debería necesitar especificar el algoritmo de firma en la CSR. La CA emitirá su certificado firmado con SHA1 o SHA2 según su selección y/o la política de emisión de la CA.

Lo investigué y no veo una manera en Server 2003 de crear un CSR SHA-256. Hay una utilidad llamada "Certreq" integrada en Windows. No veo HashAlgorithm en elVersión del servidor 2003 de certreq, pero está presente enversiones posteriores.

Otra referencia que encontré fue la creación de una solicitud personalizada a través de MMC.en el tutorialhace referencia a la selección de un algoritmo hash, pero la captura de pantalla no coincide. Puede que valga la pena investigarlo.

Algunos recursos adicionales:

Answer

Hay algunas actualizaciones que agregan compatibilidad con SHA-256 en Windows Server 2003. La que necesita esKB2868626; cuando esté instalada, esta actualización le permitirá instalar certificados SSL SHA-256 en Server 2003 SP2. Es posible que también quieras instalar los siguientes para poder conectarte a tu propio sitio.

KB938397agrega soporte SHA-256 a Server 2003 (SP1 o SP2). Esta actualización sólo permite que Server 2003 se conecte a sitios que utilizan certificados SHA-256, pero no puede servirlos por sí solo (para eso necesita el KB2868626 anterior). Hay una actualización SHA-2 adicional donde los clientes XP y Server 2003 no pueden obtener certificados SHA-256 de Windows Server 2008, es decirKB968730.

Con respecto a la generación de CSR, si compra un certificado de una CA pública, no debería necesitar especificar el algoritmo de firma en la CSR. La CA emitirá su certificado firmado con SHA1 o SHA2 según su selección y/o la política de emisión de la CA.

Lo investigué y no veo una manera en Server 2003 de crear un CSR SHA-256. Hay una utilidad llamada "Certreq" integrada en Windows. No veo HashAlgorithm en elVersión del servidor 2003 de certreq, pero está presente enversiones posteriores.

Otra referencia que encontré fue la creación de una solicitud personalizada a través de MMC.en el tutorialhace referencia a la selección de un algoritmo hash, pero la captura de pantalla no coincide. Puede que valga la pena investigarlo.

Algunos recursos adicionales:

Question 2

No existe una solicitud de certificado SSL en SHA-256.

Al crear una CSR solo puedes elegir el tamaño (1024 bit-4096 bit).
Debe enviar esa CSR a una autoridad certificadora que la firmará por usted. Es muy probable que lo firmen de forma predeterminada con una firma SHA-256 o proporcionen un cuadro de lista para elegir entre SHA1 y SHA-256.

Actualización: parece que también se ha firmado un CSR. Windows lo hace de forma predeterminada con SHA-1, pero al buscar en Google 'iis csr sha256' se encuentran muchos consejos.

Answer

No existe una solicitud de certificado SSL en SHA-256.

Al crear una CSR solo puedes elegir el tamaño (1024 bit-4096 bit).
Debe enviar esa CSR a una autoridad certificadora que la firmará por usted. Es muy probable que lo firmen de forma predeterminada con una firma SHA-256 o proporcionen un cuadro de lista para elegir entre SHA1 y SHA-256.

Actualización: parece que también se ha firmado un CSR. Windows lo hace de forma predeterminada con SHA-1, pero al buscar en Google 'iis csr sha256' se encuentran muchos consejos.

Question 3

Creo que en lugar de generar la CSR en IIS6, es mejor ir a otro servidor que ejecute una versión más reciente como Windows 2008R2 o 2012R2 para generar la CSR y luego enviarla a su CA. Después de obtener el certificado, expórtelo al archivo .pfx y luego regrese al servidor 2003R2, cópielo e impórtelo. Ya lo logré con éxito en una de mis cajas 2003R2.

Answer

Creo que en lugar de generar la CSR en IIS6, es mejor ir a otro servidor que ejecute una versión más reciente como Windows 2008R2 o 2012R2 para generar la CSR y luego enviarla a su CA. Después de obtener el certificado, expórtelo al archivo .pfx y luego regrese al servidor 2003R2, cópielo e impórtelo. Ya lo logré con éxito en una de mis cajas 2003R2.

Certificados SSL de Windows Server 2003 R2 / IIS6 y SHA-256

Respuesta1

Respuesta2

Respuesta3

información relacionada