주제에 대해 상충되는 기사가 있는 것 같아서 누군가가 이 문제에 대해 나를 도울 수 있기를 바랐습니다.
IIS6과 함께 Windows Server 2003 R2를 실행하는 레거시 서버가 있고 SHA-256에서 SSL 인증서 요청을 생성해야 합니다.
MS에서 이 핫픽스를 설치했습니다(http://support.microsoft.com/kb/948963) SHA-256 지원을 추가해야 합니다.
이제 설치되었으므로 IIS가 SHA-256에서 CSR을 생성하도록 하려면 어떻게 해야 합니까?
미리 감사드립니다
크리스
답변1
Windows Server 2003에 SHA-256 지원을 추가하는 몇 가지 업데이트가 있습니다. 필요한 업데이트는 다음과 같습니다.KB2868626; 이 업데이트를 설치하면 Server 2003 SP2에 SHA-256 SSL 인증서를 설치할 수 있습니다. 자신의 사이트에 연결할 수 있도록 아래 항목도 설치하는 것이 좋습니다.
KB938397Server 2003(SP1 또는 SP2)에 SHA-256 지원을 추가합니다. 이 업데이트를 사용하면 Server 2003이 SHA-256 인증서를 사용하는 사이트에 연결할 수 있지만 자체적으로 서비스를 제공할 수는 없습니다(위의 KB2868626이 필요함). XP 및 Server 2003 클라이언트가 Windows Server 2008에서 SHA-256 인증서를 얻을 수 없는 추가 SHA-2 업데이트가 있습니다.KB968730.
CSR 생성과 관련하여 공용 CA에서 인증서를 구매하는 경우 CSR에서 서명 알고리즘을 지정할 필요가 없습니다. CA는 귀하의 선택 및/또는 CA의 발급 정책에 따라 SHA1 또는 SHA2로 서명된 인증서를 발급합니다.
나는 그것을 조사해 보았지만 Server 2003에서는 SHA-256 CSR을 생성하는 방법을 찾을 수 없습니다. Windows에는 "Certreq"라는 유틸리티가 내장되어 있습니다. HashAlgorithm이 표시되지 않습니다.certreq의 Server 2003 버전, 그러나 에 존재합니다.이후 버전.
내가 찾은 또 다른 참고 자료는 MMC를 통해 사용자 정의 요청을 만드는 것이었습니다.튜토리얼에서해시 알고리즘 선택을 참조하고 있지만 스크린샷이 일치하지 않습니다. 조사해 볼 가치가 있을 수도 있습니다.
몇 가지 추가 리소스:
답변2
SHA-256에는 SSL 인증서 요청과 같은 것이 없습니다.
CSR을 생성할 때 크기(1024비트-4096비트)만 선택할 수 있습니다.
해당 CSR을 서명해 줄 인증 기관에 보내야 합니다. 기본적으로 SHA-256 서명으로 서명하거나 SHA1과 SHA-256 중에서 선택할 수 있는 목록 상자를 제공할 가능성이 높습니다.
업데이트: 실제로 CSR에도 서명된 것 같습니다. Windows는 기본적으로 SHA-1을 사용하여 이를 수행하지만 Google에서 'iis csr sha256'을 검색하면 많은 포인터를 찾을 수 있습니다.
답변3
IIS6에서 CSR을 생성하는 대신 Windows 2008R2 또는 2012R2와 같은 최신 버전을 실행하는 다른 서버로 이동하여 CSR을 생성한 다음 이를 CA로 보내는 것이 더 낫다고 생각합니다. 인증서를 얻은 후 .pfx 파일로 내보낸 다음 2003R2 서버로 돌아가서 복사하고 가져옵니다. 나는 이미 2003R2 상자 중 하나에서 이 작업을 성공적으로 완료했습니다.