微软说明1：https://blogs.technet.microsoft.com/pki/2010/09/30/sha2-and-windows/

微软说明2：https://support.microsoft.com/zh-cn/help/948963/an-update-is-available-to-add-support-for-the-tls-rsa-with-aes-128-cbc-sha-aes128-sha-and-tls-rsa-with-aes-256-cbc-sha-aes256-sha-aes-cipher-suites-in-windows-server-2003

IIS6微软安装IIS说明：https://support.microsoft.com/en-us/help/816794/how-to-install-imported-certificates-on-a-web-server-in-windows-server-2003

Windows Server 2003 补丁包

X86平台中文X86平台英文X64平台中文X64平台英文

尽管默认情况下对Windows Server 2003 Service Pack 2不包括对SHA256的支持，但它可以作为修补程序在KB 938397（http://support.microsoft.com/kb/938397）中下载。

KB 938397不能通过Windows更新，并需要通过支持页面上的“查看和请求修补程序下载”链接请求。请注意，KB 938397也提供Windows Server 2003 Service Pack 1。

重要说明：此修补程序似乎重新启动您的服务器没有提示。如果要在生产服务器上安装此修补程序，强烈建议您在数小时内或在维护时段内安装此修补程序。

问题分析：因为加密 API 2 （CAPI2） 在 Windows Server 2003 中不支持的哈希算法的 SHA2 系列，将出现此问题。CAPI2 是处理证书的加密 api 的一部分。在Microsoft Windows Server 2003 中，使用加密 API (CAPI) 的应用程序无法验证的 X.509 证书。如果证书安全哈希算法的安全哈希算法 2 （SHA2） 系列，将出现此问题。

使用加密API 的应用程序无法验证在Windows Server 2003 中的x.509 证书

http://support.microsoft.com/kb/938397/zh-cn

同时，对于证书需要可能需要依赖的端口，请您参考下面的文章：

Firewall Rules for Active Directory Certificate Services

介绍

在Windows XP和2003上运行时，我们最近收到了来自客户的关于SHA-256的功能的几个请求。最近更重要的是，NIST已经建议在年底之前从SHA-1迁移。有关NIST建议的更多详细信息，请参见SP 800-78-2和SP 800-57。希望这篇博客文章可以帮助清除周围场景的工作和不工作的混乱。

Windows XP支持

在Windows XP Service Pack 3之前，Windows XP中没有SHA2功能。随着Service Pack 3的发布，一些有限的功能被添加到加密模块rsaenh.dll。这包括以下SHA2哈希：SHA-256，SHA-384，SHA-512。不包括SHA-224。

Windows Server 2003支持

Windows Server 2003 Service Pack 2不附带对SHA2的支持。当处理智能卡登录和对Web服务器进行相互TLS身份验证时，此限制可能会成为一个重要的问题。与其他技术不同，智能卡登录和相互TLS都使用严格的撤销检查; 所以如果证书本身或撤销信息（CRL / OCSP）使用SHA2，登录将失败。

KB 938397

虽然支持SHA2不包括在Windows Server 2003 Service Pack 2中，但它可以下载。KB 938397将使Windows Server 2003的功能与具有Service Pack 3的Windows XP相同。KB 938397不能通过Windows Update使用; 它需要通过支持页面上的“查看和请求修补程序下载”链接来请求。注意，KB 938397也提供用于Windows Server 2003 Service Pack 1。

KB 968730

随着Windows Server 2008的发布，发现Windows XP Service Pack 3和带有KB 938397的Windows Server 2003 Service Pack 2无法从签署证书的Windows Server 2008（和2008 R2）证书颁发机构（CA）请求证书与SHA2哈希。KB 968730是为解决此问题而发布的。顺便提及，KB 968730完全取代KB 938397; 因此如果Windows Server 2003 Service Pack 2系统需要从SHA2证书颁发机构注册并处理SHA2证书，则只需要安装KB 968730。与以前一样，KB 968730不能通过Windows更新; 它需要通过支持页面上的“查看和请求修补程序下载”链接来请求。注意，不为Windows Server 2003 Service Pack 1提供KB 968730。

Windows Vista，7，Server 2008和Server 2008 R2

从Windows Vista和Server 2008开始，操作系统中包括下一代密码学（CNG）套件B算法（包括SHA2）。值得注意的是，即使算法可用，由各个应用程序来实现支持。

Outlook和S / MIME

除了登录，智能卡的另一个非常普遍的用途是S / MIME。但在潜入Outlook和S / MIME之前，应该给出以下警告：无论Windows和Outlook提供的功能如何; 为了在两个用户之间传送邮件，在发送者和接收者之间存在任意数量的垃圾邮件过滤器，中继，邮箱等。每个都可以由广泛的供应商; 运行在广泛的平台上。因此，在部署SHA2之前，除了需要与S / MIME签名邮件交换的外部组织的电子邮件基础结构外，还应该针对自己的电子邮件基础结构进行测试。

除了这些警告，Outlook的基本功能如下。在Windows XP Service Pack 3上运行的Outlook 2003,2007和2010可以在该证书本身已签署SHA2时签名和验证证书。当邮件本身已签署SHA2（无论使用的证书如何）时，在Windows XP Service Pack 3上运行的Outlook 2003,2007和2010无法验证电子邮件。在Windows XP Service Pack 3上运行的Outlook 2003,2007和2010无法使用SHA2签名消息; 只有SHA-1和MD5可用。

为了验证SHA2消息，需要具有Outlook 2003（或更高版本）的Windows Vista。为了签名和验证SHA2消息，需要Windows Vista或7与Outlook 2007或2010。

建议

对于希望部署SHA2或与3交互的组织机构RD各方将很快开始使用SHA2，建议如下。

• 如果在环境中使用Windows XP，应该部署Service Pack 3。除了SHA2功能，Service Pack 3是目前唯一支持的Windows XP服务包。

• 如果Windows XP系统需要注册来自SHA2证书颁发机构的证书，则应该部署KB 968730。

• 如果在环境中使用Windows Server 2003，则应部署Service Pack（1或2）和KB 938397。

• 如果Windows Server 2003需要注册来自SHA2证书颁发机构的证书，则应部署Service Pack 2和KB 968730。如果计划部署KB 968730，则不需要安装KB 938397。

• 如果需要使用SHA2签名的S / MIME消息体，工作站应升级到至少运行Office 2003的Windows Vista。

摘要图表

- 亚当斯塔西涅维奇