web-dev-qa-db-ja.com

Windows Server 2003 R2 / IIS6およびSHA-256 SSL証明書

この件に関して矛盾する記事があるように思われるので、誰かがこれを手伝ってくれることを望んでいました。

IIS6を搭載したWindows Server 2003 R2を実行しているレガシーサーバーがあり、SHA-256でSSL証明書リクエストを生成する必要があります。

この修正プログラムをMSからインストールしました( http://support.Microsoft.com/kb/94896 )これはSHA-256サポートを追加することになっています。

インストールされたので、SHA-256でCSRを生成するためにIISを取得するにはどうすればよいですか?

前もって感謝します

クリス

2
Chris

Windows Server 2003でSHA-256サポートを追加するいくつかの更新があります。必要なものは KB2868626 ;です。この更新プログラムをインストールすると、Server 2003SP2にSHA-256SSL証明書をインストールできるようになります。自分のサイトに接続できるように、以下のものもインストールすることをお勧めします。

KB938397 Server 2003(SP1またはSP2)にSHA-256サポートを追加します。この更新は、Server 2003がSHA-256証明書を使用しているサイトに接続することのみを可能にしますが、それ自体を提供することはできません(上記のKB2868626が必要なため)。追加のSHA-2更新があり、XP&Server2003クライアントはWindowsServer 2008からSHA-256証明書を取得できません。つまり KB9687 です。

CSRの生成に関しては、パブリックCAから証明書を購入する場合、CSRで署名アルゴリズムを指定する必要はありません。 CAは、選択内容やCAの発行ポリシーに応じて、SHA1またはSHA2で署名された証明書を発行します。

私はそれを調べましたが、Server2003でSHA-256CSRを作成する方法がわかりません。 Windowsには「Certreq」というユーティリティが組み込まれています。 Server 2003バージョンのcertreq にHashAlgorithmが表示されませんが、 以降のバージョン に存在します。

私が見つけたもう1つの参照は、MMCを通じてカスタム要求を作成することでした。 チュートリアルでは ハッシュアルゴリズムの選択を参照していますが、スクリーンショットが一致しません。調査する価値があるかもしれません。

いくつかの追加リソース:

  1. SHA-2およびWindows
  2. SHA-2とWindowsに関する一般的な質問
  3. 詳細 SHA-2互換性 記事。
1
Gregordinary

SHA-256にはSSL証明書要求のようなものはありません。

CSRを作成するときは、サイズ(1024ビット-4096ビット)のみを選択できます。
そのCSRを、署名する認証局に送信する必要があります。デフォルトでSHA-256署名を使用して署名するか、SHA1とSHA-256のどちらかを選択するためのリストボックスを提供する可能性が非常に高くなります。

更新:CSRも実際に署名されているようです。 WindowsではデフォルトでSHA-1を使用していますが、Googleで「iis csr sha256」を検索すると、多くのポインターが見つかります。

0
Jeff

IIS6でCSRを生成する代わりに、Windows 2008R2や2012R2などの新しいバージョンを実行している他のサーバーに移動してCSRを生成し、それをCAに送信する方がよいと思います。証明書を取得したら、それを.pfxファイルにエクスポートしてから、2003R2サーバーに戻り、コピーしてインポートします。私はすでに2003R2ボックスの1つでそれをうまくやり遂げました。

0
Nam Truong