Сертификаты SSL для Windows Server 2003 R2 / IIS6 и SHA-256

Question 1

Есть несколько обновлений, которые добавляют поддержку SHA-256 в Windows Server 2003. То, что вам нужно, этоКБ2868626; после установки этого обновления вы сможете установить сертификаты SHA-256 SSL на Server 2003 SP2. Возможно, вы захотите установить и те, что указаны ниже, чтобы иметь возможность подключаться к своему сайту.

КБ938397добавляет поддержку SHA-256 в Server 2003 (SP1 или SP2). Это обновление позволяет Server 2003 подключаться только к сайтам, использующим сертификаты SHA-256, но не может обслуживать их сам (для этого вам понадобится указанное выше KB2868626). Существует дополнительное обновление SHA-2, из-за которого клиенты XP и Server 2003 не могут получать сертификаты SHA-256 из Windows Server 2008, то естьКБ968730.

Что касается генерации CSR, если вы покупаете сертификат у публичного CA, вам не нужно указывать алгоритм подписи в CSR. CA выдаст ваш сертификат, подписанный с помощью SHA1 или SHA2, в зависимости от вашего выбора и/или политики выпуска CA.

Я посмотрел на это и не вижу способа в Server 2003 создать SHA-256 CSR. Есть утилита под названием "Certreq", встроенная в Windows. Я не вижу HashAlgorithm вСервер 2003 версия certreq, но он присутствует вболее поздние версии.

Еще одна найденная мной ссылка касается создания пользовательского запроса через MMC.В учебникеон ссылается на выбор алгоритма хеширования, но скриншот не совпадает. Может стоит исследовать.

Некоторые дополнительные ресурсы:

SHA-2 и Windows
Распространенные вопросы о SHA-2 и Windows
ПодробныйСовместимость с SHA-2статья.

Answer

Есть несколько обновлений, которые добавляют поддержку SHA-256 в Windows Server 2003. То, что вам нужно, этоКБ2868626; после установки этого обновления вы сможете установить сертификаты SHA-256 SSL на Server 2003 SP2. Возможно, вы захотите установить и те, что указаны ниже, чтобы иметь возможность подключаться к своему сайту.

КБ938397добавляет поддержку SHA-256 в Server 2003 (SP1 или SP2). Это обновление позволяет Server 2003 подключаться только к сайтам, использующим сертификаты SHA-256, но не может обслуживать их сам (для этого вам понадобится указанное выше KB2868626). Существует дополнительное обновление SHA-2, из-за которого клиенты XP и Server 2003 не могут получать сертификаты SHA-256 из Windows Server 2008, то естьКБ968730.

Что касается генерации CSR, если вы покупаете сертификат у публичного CA, вам не нужно указывать алгоритм подписи в CSR. CA выдаст ваш сертификат, подписанный с помощью SHA1 или SHA2, в зависимости от вашего выбора и/или политики выпуска CA.

Я посмотрел на это и не вижу способа в Server 2003 создать SHA-256 CSR. Есть утилита под названием "Certreq", встроенная в Windows. Я не вижу HashAlgorithm вСервер 2003 версия certreq, но он присутствует вболее поздние версии.

Еще одна найденная мной ссылка касается создания пользовательского запроса через MMC.В учебникеон ссылается на выбор алгоритма хеширования, но скриншот не совпадает. Может стоит исследовать.

Некоторые дополнительные ресурсы:

SHA-2 и Windows
Распространенные вопросы о SHA-2 и Windows
ПодробныйСовместимость с SHA-2статья.

Question 2

В SHA-256 нет такого понятия, как запрос сертификата SSL.

При создании CSR вы можете выбрать только размер (1024 бит-4096 бит).
Вам необходимо отправить этот CSR в центр сертификации, который подпишет его для вас. Скорее всего, они подпишут его по умолчанию с помощью подписи SHA-256 или предоставят список для выбора между SHA1 и SHA-256.

Обновление: похоже, что CSR действительно подписан. Windows делает это по умолчанию с помощью SHA-1, но поиск в Google по запросу «iis csr sha256» находит множество указателей.

Answer

В SHA-256 нет такого понятия, как запрос сертификата SSL.

При создании CSR вы можете выбрать только размер (1024 бит-4096 бит).
Вам необходимо отправить этот CSR в центр сертификации, который подпишет его для вас. Скорее всего, они подпишут его по умолчанию с помощью подписи SHA-256 или предоставят список для выбора между SHA1 и SHA-256.

Обновление: похоже, что CSR действительно подписан. Windows делает это по умолчанию с помощью SHA-1, но поиск в Google по запросу «iis csr sha256» находит множество указателей.

Question 3

Я думаю, что вместо генерации CSR в IIS6 лучше перейти на другой сервер с более новой версией, например, Windows 2008R2 или 2012R2, чтобы сгенерировать CSR, а затем отправить его в свой CA. После получения сертификата экспортируйте его в файл .pfx, а затем вернитесь на сервер 2003R2, скопируйте и импортируйте его. Я уже успешно сделал это на одном из своих ящиков 2003R2.

Answer

Я думаю, что вместо генерации CSR в IIS6 лучше перейти на другой сервер с более новой версией, например, Windows 2008R2 или 2012R2, чтобы сгенерировать CSR, а затем отправить его в свой CA. После получения сертификата экспортируйте его в файл .pfx, а затем вернитесь на сервер 2003R2, скопируйте и импортируйте его. Я уже успешно сделал это на одном из своих ящиков 2003R2.

Сертификаты SSL для Windows Server 2003 R2 / IIS6 и SHA-256

решение1

решение2

решение3

Связанный контент