none
Exchange 2010 網站憑證 SHA1 / SHA256 發放問題 RRS feed

  • 問題

  • 我已經參考了國外 這篇文章 中的作法,從憑證 MMC 裡面手動發憑證要求,給我們自己的企業根憑證主機產生憑證。儘管我在手動的過程中指定了雜湊演算法 SHA256,但是產生出來的憑證仍然是採用 SHA1 加密法。我們的企業根憑證主機是 Windows Server 2012 R2。

    SHA1 加密法這個問題目前已經在兩個地方會產生問題,一個是目前的 Chrome 瀏覽器遇到接近 2016 年到期的 SHA1 憑證會開始警告甚至給紅X,一個是 iOS 上的 Microsoft Outlook 這個官方 APP,開始不接受此憑證,導致無法正常登入使用。不過 iOS 上的標準 Apple 官方「郵件」這個 APP 仍然可以正常的使用 Exchange ActiveSync & 目前的 SHA1 加密憑證。

    請問該怎麼做,可以讓我的 Exchange 2010 IIS 使用更強的加密憑證呢?


    2015年12月9日 上午 07:11

解答

所有回覆

  • 我也參考了 這篇文章 在我們的企業根憑證主機上執行過。我們的企業根憑證主機最早是 Windows Server 2003,去年底備份 CA 再還原 CA 到同名的 Windows Server 2012 R2 主機上,順利從 x86 環境遷移到 x64 環境,並且運作正常。這讓我看了這篇文章後想說是不是這麼舊的架構無法產生 SHA256 加密憑證。

    不過照做了之後,也 stop/start 憑證服務,然後再重新手動申請憑證,一樣有選擇雜湊演算法 SHA256,可是產生出來的 .cer 檔打開一看還是寫著 SHA1


    • 已編輯 Johnson.Wang 2015年12月9日 上午 07:59 發現記錯,是 2012R2 不是 2008R2
    2015年12月9日 上午 07:30
  • 我看到 這篇文章 然後心驚膽戰的照做了一遍,現在可以發出 SHA256 憑證了。
    • 已標示為解答 Johnson.Wang 2015年12月9日 上午 11:30
    2015年12月9日 上午 09:15
  • 在我將 CA 主機做了心驚動迫的調整後,現在也不用搞什麼怪招,就按一般程序向 CA 申請憑證,自然會發出 SHA256 的了。

    所以這個問題其實和 Exchange 比較沒有直接關係,這應該算是一個 Windows Server 的問題吧?一個從 Windows Server 2003 時代就建立的 CA,升級到 Windows Server 2012 R2 以後不支援 SHA256 加密,這時候就用標示答案的那篇文章來做 migration,即可讓 CA 發出 SHA256 加密憑證。

    我自問自答,那我就厚顏的標示自己為答案囉。 XD
    2015年12月9日 上午 11:30