none
IIS a SSL SHA2

    Dotaz

  • Dobrý den, řeším výměnu certifikátu webového serveru (IIS, Windows 2003 Ent. R2 SP2) . Původní certifikát SHA1 vypršel, nový certifikát SHA2 vydaný autoritou Postsignum VCA2 jsem nainstaloval a přiřadil (je důvěryhodný, mám soukromý klíč) a v tomto okamžiku začne být web na adrese https:// nedostupný (stránku nelze zobrazit) restart nezabírá také.

    Neví prosím někdo jak řešit? 

    středa 8. září 2010 14:08

Odpovědi

Všechny reakce

  • A mate nainstalovany hotfix 938397 ?
    čtvrtek 9. září 2010 6:25
  • Ano, bez něj sice cewrtifikát nainstaluji, ale je nedůvěryhodný (nejde ověřit).
    čtvrtek 9. září 2010 10:43
  • http://www.lupa.cz/clanky/zavedeni-hash-algoritmu-sha-2-v-prostredi-ms-win/

    Z tohoto vypraveni p.Hernadyho z Microsoftu IMHO vyplyva, ze si SHA-2 pro IIS neuzijete.

    • Označen jako odpověď Tomáš Hilmar čtvrtek 9. září 2010 14:19
    čtvrtek 9. září 2010 12:35
  • A já blázen hledal na podporách u MS :(

    Chápu-li to dobře, je to protože IIS má pouze Microsoft Enhanced Cryptographic Provider v1.0 (ME_CP 1.0)  a ten to neumí ani s patchem.  A protože např. OWA od Exchange 2003 vyžaduje 128bit, nepomůže ani upgrade na Windows 2008. Asi si vystavíme SH1 certifikát vlastní autoritou...

    Děkuji

    čtvrtek 9. září 2010 14:19
  • Je to tak, ze CEPv1 umi s patchem SHA-2 overit, nikoliv s nim podepisovat. viz cituji z clanku " Microsoft Enhanced Cryptographic Provider v1.0 nepodporuje podepisování s využitím hash algoritmů rodiny SHA-2". Proc? Ptejte se MS. Je to IMHO proto, ze "W2003 je stary system" a MS mam zajem na prodeji novych. Jinak tomu v systemu nic nebrani.

    Pokud toto cele martirium podstupujete jen kvuli OWA, pak je opravdu nejjednodussi poridit si vlastni soukromou CA, nebo pouzit OpenSSL. V PC s tim neni zadny problem (naimportujete root CA stejne jako jste musel u PostSignum), u NOKIA TLF staci jen pri nastavovani ActiveSync potvrdit pri prvnim pripojeni certifikat jako duveryhodny, u Windows mobile opet naimportujete root certifikat.  Neni s tim v podstate zadny zardhel.

    pátek 10. září 2010 6:10