none
IIS 6 + SHA 256 RRS feed

  • Вопрос

  • Всем здравствуйте!

    Установлен MS Windows Server 2003 SP2 с IIS 6 в домене AD (тоже на 2003-м сервере). В связи с тем, что Google не нравятся старые сертификаты SHA, необходимо установить на сайты новые сертификаты SHA256.

    Как это можно реализовать на указанном ПО?

    Центр сертификации в домене есть, но он выдает только обычные сертификаты SHA.

    Со старыми сертификатами SHA сайты работают нормально, но браузер Google Chrome ругается, что сайт ненадежный.

    На одном из доменных ПК с ОС Windows 8.1 при помощи утилиты openssl были сгенерированы нужные сертификаты SHA256 и установлены на сервер IIS. Но подключиться к сайтам по http с новыми сертификатами невозможно - Google chrome выдает ошибку:

    "Не удается получить доступ к сайту
    Сайт manaeff.ru неожиданно разорвал соединение.
    Попробуйте сделать следующее:
    Проверьте подключение к Интернету.
    Проверьте настройки прокси-сервера и брандмауэра.
    Выполните диагностику сети в Windows
    ERR_CONNECTION_CLOSED"

    Internet Explorer 11 такую:

    "Не удается отобразить эту страницу
    Включите TLS 1.0, TLS 1.1 и TLS 1.2 в дополнительных параметрах и повторите попытку подключения к https://manaeff.ru:444 . Если ошибка повторяется, возможно, этот сайт использует неподдерживаемый протокол или комплект шифров, например RC4 (ссылка на статью со сведениями), который не считается безопасным. Обратитесь к администратору сайта. "

    а Internet Explorer 8 такую:

    "Internet Explorer не может отобразить эту веб-страницу 
        Попробуйте сделать следующее: 
         Вероятно, вы подключены к Интернету, однако может потребоваться повторное подключение.  
          Заново введите адрес.  
          Перейдите на предыдущую страницу. 
        Возможные причины:
    •Нет подключения к Интернету.
    •На веб-узле возникли неполадки.
    •Возможно, сделана опечатка в адресе." 


    И для таких сертификатов в мастере сертификатов IIS недоступны (неактивны) функции экспорта в pfx и копирования или перемещения на узел на удаленном сервере.

    То есть со старыми сертификатами SHA, сгенерированными при помощи мастера сертификатов IIS сайты работают по https нормально, но Google Chrome ругается на недоверенный сертификат, а с новыми самоподписанными сертификатами SHA256, сгенерированными утилитой openssl,  ни к одному из сайтов вообще нельзя подключиться.

    Почему так? Можно ли вообще настроить IIS 6 на использование сертификатов SHA256 и как это сделать?

    Заранее спасибо!

Ответы

  • Поддержка данного алгоритма в XP/2003 ограничена. Смотрите тут если у вас установлены нужные хотфиксы и то что вам надо вообще поддерживается:

    https://blogs.technet.microsoft.com/pki/2010/09/30/sha2-and-windows/



    This posting is provided "AS IS" with no warranties, and confers no rights.