Надеялся, что кто-то мог выручить меня с этим, поскольку там, кажется, конфликтует статьи о предмете.
Я имею сервер прежней версии рабочий Windows Server 2003 R2 с IIS6 и должен генерировать Запрос сертификата SSL в SHA-256.
Я установил эти Текущие исправления от MS (http://support.microsoft.com/kb/948963), который, как предполагается, добавляет поддержку SHA-256.
Теперь, когда его установил, как точно я заставляю IIS генерировать CSR в SHA-256?
Заранее спасибо
Chris
Есть несколько обновлений, которые добавляют поддержку SHA-256 в Windows Server 2003. Одно из них вам нужно KB2868626; при установке этого обновления вы сможете установить SHA-256 SSL сертификаты на Server 2003 SP2. Возможно, вы захотите установить и те, что указаны ниже, чтобы вы могли подключиться к своему сайту.
KB938397 добавляет SHA-256 поддержка сервера 2003 (SP1 или SP2). Это обновление позволяет серверу 2003 подключаться только к сайтам, использующим SHA-256 сертификаты, но не может обслуживать их самостоятельно (для этого вам понадобится вышеуказанный KB2868626). Есть дополнительное обновление SHA-2, в котором клиенты XP & Server 2003 не могут получить SHA-256 сертификаты с Windows Server 2008, а именно KB968730.
Что касается генерации CSR, если вы покупаете сертификат от публичного центра сертификации, вам не нужно указывать алгоритм подписи в CSR. ЦС выпустит ваш сертификат, подписанный SHA1 или SHA2, в зависимости от вашего выбора и/или политики выпуска ЦС.
Я просмотрел его и не вижу способа в Server 2003 создать SHA-256 CSR. Есть утилита под названием "Certreq", встроенная в Windows. Я не вижу HashAlgorithm в Server 2003 версии certreq, но он присутствует в более поздних версиях .
Еще одной ссылкой, которую я нашел, было создание пользовательского запроса через MMC. В учебнике она ссылается на выбор хэш-алгоритма, но скриншот не совпадает. Возможно, это стоит изучить.
Некоторые дополнительные ресурсы:
Я думаю, что вместо создания CSR в IIS6 лучше перейти на другой сервер с более новой версией, например Windows 2008R2 или 2012R2, чтобы сгенерировать CSR, а затем отправить его в свой центр сертификации. После получения сертификата экспортируйте его в файл .pfx, а затем вернитесь на сервер 2003R2, скопируйте и импортируйте его. Я уже успешно сделал это на одном из моих ящиков 2003R2.