Certificados SSL do Windows Server 2003 R2/IIS6 e SHA-256

Question 1

Existem algumas atualizações que adicionam suporte SHA-256 no Windows Server 2003. A que você precisa éKB2868626; quando instalada, esta atualização permitirá que você instale certificados SSL SHA-256 no Server 2003 SP2. Você também pode instalar os abaixo para poder se conectar ao seu próprio site.

KB938397adiciona suporte SHA-256 ao Server 2003 (SP1 ou SP2). Esta atualização permite apenas que o Server 2003 se conecte a sites que usam certificados SHA-256, mas não pode servi-los sozinho (para isso, você precisa do KB2868626 acima). Há uma atualização SHA-2 adicional em que os clientes XP e Server 2003 não podem obter certificados SHA-256 do Windows Server 2008, ou sejaKB968730.

Em relação à geração do CSR, se você estiver adquirindo um certificado de uma CA pública, não será necessário especificar o algoritmo de assinatura no CSR. A CA emitirá seu certificado assinado com SHA1 ou SHA2 dependendo de sua seleção e/ou da política de emissão da CA.

Eu investiguei isso e não vejo uma maneira no Server 2003 de criar um CSR SHA-256. Existe um utilitário chamado “Certreq” integrado ao Windows. Não vejo HashAlgorithm noVersão do servidor 2003 do certreq, mas está presente emversões posteriores.

Outra referência que encontrei foi a criação de uma solicitação personalizada por meio do MMC.No tutorialfaz referência à seleção de um algoritmo hash, mas a captura de tela não corresponde. Pode valer a pena investigar.

Alguns recursos adicionais:

Answer

Existem algumas atualizações que adicionam suporte SHA-256 no Windows Server 2003. A que você precisa éKB2868626; quando instalada, esta atualização permitirá que você instale certificados SSL SHA-256 no Server 2003 SP2. Você também pode instalar os abaixo para poder se conectar ao seu próprio site.

KB938397adiciona suporte SHA-256 ao Server 2003 (SP1 ou SP2). Esta atualização permite apenas que o Server 2003 se conecte a sites que usam certificados SHA-256, mas não pode servi-los sozinho (para isso, você precisa do KB2868626 acima). Há uma atualização SHA-2 adicional em que os clientes XP e Server 2003 não podem obter certificados SHA-256 do Windows Server 2008, ou sejaKB968730.

Em relação à geração do CSR, se você estiver adquirindo um certificado de uma CA pública, não será necessário especificar o algoritmo de assinatura no CSR. A CA emitirá seu certificado assinado com SHA1 ou SHA2 dependendo de sua seleção e/ou da política de emissão da CA.

Eu investiguei isso e não vejo uma maneira no Server 2003 de criar um CSR SHA-256. Existe um utilitário chamado “Certreq” integrado ao Windows. Não vejo HashAlgorithm noVersão do servidor 2003 do certreq, mas está presente emversões posteriores.

Outra referência que encontrei foi a criação de uma solicitação personalizada por meio do MMC.No tutorialfaz referência à seleção de um algoritmo hash, mas a captura de tela não corresponde. Pode valer a pena investigar.

Alguns recursos adicionais:

Question 2

Não existe solicitação de certificado SSL no SHA-256.

Ao criar um CSR você só pode escolher o tamanho (1024 bits-4096 bits).
Você precisa enviar esse CSR para uma autoridade de certificação que o assinará para você. Muito provavelmente eles o assinarão por padrão com uma assinatura SHA-256 ou fornecerão uma caixa de listagem para escolher entre SHA1 e SHA-256.

Atualização: parece que um CSR também está assinado. O Windows faz isso por padrão com SHA-1, mas pesquisar no Google por 'iis csr sha256' encontra muitas dicas.

Answer

Não existe solicitação de certificado SSL no SHA-256.

Ao criar um CSR você só pode escolher o tamanho (1024 bits-4096 bits).
Você precisa enviar esse CSR para uma autoridade de certificação que o assinará para você. Muito provavelmente eles o assinarão por padrão com uma assinatura SHA-256 ou fornecerão uma caixa de listagem para escolher entre SHA1 e SHA-256.

Atualização: parece que um CSR também está assinado. O Windows faz isso por padrão com SHA-1, mas pesquisar no Google por 'iis csr sha256' encontra muitas dicas.

Question 3

Acho que em vez de gerar o CSR no IIS6, é melhor ir para outro servidor executando uma versão mais recente, como Windows 2008R2 ou 2012R2, para gerar o CSR e enviá-lo para sua CA. Depois de obter o certificado, exporte-o para o arquivo .pfx e volte para o servidor 2003R2, copie e importe-o. Já fiz isso com sucesso em uma das minhas caixas 2003R2.

Answer

Acho que em vez de gerar o CSR no IIS6, é melhor ir para outro servidor executando uma versão mais recente, como Windows 2008R2 ou 2012R2, para gerar o CSR e enviá-lo para sua CA. Depois de obter o certificado, exporte-o para o arquivo .pfx e volte para o servidor 2003R2, copie e importe-o. Já fiz isso com sucesso em uma das minhas caixas 2003R2.

Certificados SSL do Windows Server 2003 R2/IIS6 e SHA-256

Responder1

Responder2

Responder3

informação relacionada