Увімкнення підтримки SHA2 сертифікатів на Windows Server 2003

Спочатку трохи довідкової інформації. У мене є пакет SSIS, який працює в 32-бітному середовищі Windows Server 2003 SP2. Пакет нещодавно почав виходити з ладу із наступною помилкою під час виконання сценарію, який завантажує веб-сторінку за допомогою SSL-з'єднання:

"The underlying connection was closed: Could not establish trust relationship for the SSL/TLS secure channel.

Деяке копання виявило декілька речей: я також не міг отримати доступ до спірного веб-сайту, використовуючи IE8 із сервера (я можу з Firefox), і веб-сайт щойно видав новий сертифікат SHA256.

Після деяких досліджень моє теперішнє припущення полягає в тому, що проблема в тому, що я не маю підтримки для сертифікатів SHA2 на цьому сервері. Я схопив сертифікат з сайту і побіг, CertUtil -verify [cert file]який дає такий результат:

 The signature of the certificate can not be verified. 0x80096004 (-2146869244)

Я знайшов пару виправлень від Microsoft, і, наскільки я розумію, будь-яка з них повинна включати підтримку сертифікатів SHA2:

• http://support.microsoft.com/kb/938397
• http://support.microsoft.com/kb/968730

Тож я запитав виправлення для kb968730 і спробував його встановити, але отримав таку помилку:

The installation cannot continue because the following packages might not be valid:
    KB2616676_V2 c:\windows\system32\dllcache\crypt32.dll 5.131.3790.4905
    KB2616676_V2 c:\windows\system32\crypt32.dll          5.131.3790.4905
Reinstall the packages listed above, and then reinstall KB968730

Версія бібліотеки crypt32, яка входить до виправлення, дорівнює 5.131.3790.4477, що пояснює, чому інсталятор не буде працювати.

На даний момент я не зовсім впевнений, що мені потрібно зробити. Стаття kb968730 вказує, що crypt32.dll - єдиний файл, який оновлюється виправленням, що змушує задуматися, оскільки я вже нову версію, чи не маю я вже цього функціоналу? Але, здавалося б, я цього не роблю, якщо я не помиляюся про першопричину проблеми.

Версія Crypt32.dll 5.131.3790.5235 виправляє проблему (після перезавантаження). Він доступний на веб-сайті http://support2.microsoft.com/kb/2868626

Раніше встановлена ​​версія була версією 5.131.3790.5014, і це не вирішило проблему. Відповідно до цієї публікації ( https://mendel129.wordpress.com/tag/crypt32-dll/ ), є два варіанти версії 5014: один із оновлення Windows (KB2661254, не працює) та інший як QFE (KB968730 ).

Цю проблему вирішено, встановивши KB3072630 , який встановлюється автоматично, якщо у вас включено оновлення Windows. Номер версії Crypt32.dll після оновлення 5.131.3790.5668.

KB938397 та KB968730 застаріли та замінені вище оновленням.

Я також отримав цю помилку. Я б заздалегідь встановив сертифікат на призначений сервер і отримав цю помилку. Моє рішення полягало в тому, що мені потрібно було йти вперед і встановлювати кореневий / проміжний сертифікат на кожному сервері, який викликав цей конкретний сертифікат. Це, мабуть, тому, що я щойно оновив свій внутрішній КА.

Отже, якщо є X кількість серверів, які дзвонять до цього сертифіката, встановіть його на цих серверах. Це вирішило мою проблему.