微软说明1:https://blogs.technet.microsoft.com/pki/2010/09/30/sha2-and-windows/
IIS6微软安装IIS说明:https://support.microsoft.com/en-us/help/816794/how-to-install-imported-certificates-on-a-web-server-in-windows-server-2003
尽管默认情况下对Windows Server 2003 Service Pack 2不包括对SHA256的支持,但它可以作为修补程序在KB 938397(http://support.microsoft.com/kb/938397)中下载。
KB 938397不能通过Windows更新,并需要通过支持页面上的“查看和请求修补程序下载”链接请求。请注意,KB 938397也提供Windows Server 2003 Service Pack 1。
重要说明:此修补程序似乎重新启动您的服务器没有提示。如果要在生产服务器上安装此修补程序,强烈建议您在数小时内或在维护时段内安装此修补程序。
问题分析:因为加密 API 2 (CAPI2) 在 Windows Server 2003 中不支持的哈希算法的 SHA2 系列,将出现此问题。CAPI2 是处理证书的加密 api 的一部分。在Microsoft Windows Server 2003 中,使用加密 API (CAPI) 的应用程序无法验证的 X.509 证书。如果证书安全哈希算法的安全哈希算法 2 (SHA2) 系列,将出现此问题。
使用加密API 的应用程序无法验证在Windows Server 2003 中的x.509 证书
http://support.microsoft.com/kb/938397/zh-cn
同时,对于证书需要可能需要依赖的端口,请您参考下面的文章:
Firewall Rules for Active Directory Certificate Services
在Windows XP和2003上运行时,我们最近收到了来自客户的关于SHA-256的功能的几个请求。最近更重要的是,NIST已经建议在年底之前从SHA-1迁移。有关NIST建议的更多详细信息,请参见SP 800-78-2和SP 800-57。希望这篇博客文章可以帮助清除周围场景的工作和不工作的混乱。
在Windows XP Service Pack 3之前,Windows XP中没有SHA2功能。随着Service Pack 3的发布,一些有限的功能被添加到加密模块rsaenh.dll。这包括以下SHA2哈希:SHA-256,SHA-384,SHA-512。不包括SHA-224。
Windows Server 2003 Service Pack 2不附带对SHA2的支持。当处理智能卡登录和对Web服务器进行相互TLS身份验证时,此限制可能会成为一个重要的问题。与其他技术不同,智能卡登录和相互TLS都使用严格的撤销检查; 所以如果证书本身或撤销信息(CRL / OCSP)使用SHA2,登录将失败。
虽然支持SHA2不包括在Windows Server 2003 Service Pack 2中,但它可以下载。KB 938397将使Windows Server 2003的功能与具有Service Pack 3的Windows XP相同。KB 938397不能通过Windows Update使用; 它需要通过支持页面上的“查看和请求修补程序下载”链接来请求。注意,KB 938397也提供用于Windows Server 2003 Service Pack 1。
随着Windows Server 2008的发布,发现Windows XP Service Pack 3和带有KB 938397的Windows Server 2003 Service Pack 2无法从签署证书的Windows Server 2008(和2008 R2)证书颁发机构(CA)请求证书与SHA2哈希。KB 968730是为解决此问题而发布的。顺便提及,KB 968730完全取代KB 938397; 因此如果Windows Server 2003 Service Pack 2系统需要从SHA2证书颁发机构注册并处理SHA2证书,则只需要安装KB 968730。与以前一样,KB 968730不能通过Windows更新; 它需要通过支持页面上的“查看和请求修补程序下载”链接来请求。注意,不为Windows Server 2003 Service Pack 1提供KB 968730。
从Windows Vista和Server 2008开始,操作系统中包括下一代密码学(CNG)套件B算法(包括SHA2)。值得注意的是,即使算法可用,由各个应用程序来实现支持。
除了登录,智能卡的另一个非常普遍的用途是S / MIME。但在潜入Outlook和S / MIME之前,应该给出以下警告:无论Windows和Outlook提供的功能如何; 为了在两个用户之间传送邮件,在发送者和接收者之间存在任意数量的垃圾邮件过滤器,中继,邮箱等。每个都可以由广泛的供应商; 运行在广泛的平台上。因此,在部署SHA2之前,除了需要与S / MIME签名邮件交换的外部组织的电子邮件基础结构外,还应该针对自己的电子邮件基础结构进行测试。
除了这些警告,Outlook的基本功能如下。在Windows XP Service Pack 3上运行的Outlook 2003,2007和2010可以在该证书本身已签署SHA2时签名和验证证书。当邮件本身已签署SHA2(无论使用的证书如何)时,在Windows XP Service Pack 3上运行的Outlook 2003,2007和2010无法验证电子邮件。在Windows XP Service Pack 3上运行的Outlook 2003,2007和2010无法使用SHA2签名消息; 只有SHA-1和MD5可用。
为了验证SHA2消息,需要具有Outlook 2003(或更高版本)的Windows Vista。为了签名和验证SHA2消息,需要Windows Vista或7与Outlook 2007或2010。
对于希望部署SHA2或与3交互的组织机构RD各方将很快开始使用SHA2,建议如下。
如果在环境中使用Windows XP,应该部署Service Pack 3。除了SHA2功能,Service Pack 3是目前唯一支持的Windows XP服务包。
如果Windows XP系统需要注册来自SHA2证书颁发机构的证书,则应该部署KB 968730。
如果在环境中使用Windows Server 2003,则应部署Service Pack(1或2)和KB 938397。
如果Windows Server 2003需要注册来自SHA2证书颁发机构的证书,则应部署Service Pack 2和KB 968730。如果计划部署KB 968730,则不需要安装KB 938397。
如果需要使用SHA2签名的S / MIME消息体,工作站应升级到至少运行Office 2003的Windows Vista。
XP SP3 | XP SP3与KB968730 | 2003 R2 SP2 | 2003 R2 SP2与KB968730 | Windows Vista,7,2008,2008 R2 | ||
基本功能 | ||||||
使用SHA2证书浏览网站 | 作品 | 作品 | 无法验证证书 | 作品 | 作品 | |
打开证书并查看属性 | 作品 | 作品 | 无法验证证书 | 作品 | 作品 | |
交互式登录和相互TLS(客户端系统) | ||||||
客户端具有SHA2证书; 服务器具有SHA1证书 | 作品 | 作品 | 作品 | 作品 | 作品 | |
客户端具有SHA2证书; 服务器具有SHA2证书 | 作品 | 作品 | 无法登入 | 作品 | 作品 | |
交互式登录和相互TLS(域控制器/ IIS服务器) | ||||||
客户端具有SHA2证书; 服务器具有SHA1证书 | N / A | N / A | 无法登入 | 作品 | 作品 | |
证书注册 | ||||||
V3证书模板从任何类型的根注册 | 无法选择模板 | 无法选择模板 | 无法选择模板 | 无法选择模板 | 作品 | |
从SHA2根注册V2证书模板 | 请求失败 | 作品 | 请求失败 | 作品 | 作品 | |
S / MIME(Outlook 2003) | ||||||
验证并签名到SHA2证书 | 作品 | 作品 | N / A | N / A | 作品 | |
验证使用SHA2签名的消息体 | 无法验证证书 | 无法验证证书 | N / A | N / A | 作品 | |
用SHA2签署邮件正文 | 不是可用选项 | 不是可用选项 | N / A | N / A | 不是可用选项 | |
S / MIME(Outlook 2007和2010) | ||||||
使用SHA-1验证和签名到SHA2证书的消息签名 | 作品 | 作品 | N / A | N / A | 作品 | |
验证使用SHA2签名的消息体 | 无法验证证书 | 无法验证证书 | N / A | N / A | 作品 | |
用SHA2签署邮件正文 | 不是可用选项 | 不是可用选项 | N / A | N / A | 作品 |
- 亚当斯塔西涅维奇