希望有人能帮我解决这个问题,因为在这个问题上似乎有矛盾的文章。
我有一台运行带有IIS6的Windows Server 2003 R2的旧版服务器,需要在SHA-256中生成一个SSL证书请求。
我已经安装了此修补程序从MS( http://support.microsoft.com/kb/948963 )应该添加SHA-256支持。
现在已经安装了,我怎样才能让IIS在SHA-256中生成CSR呢?
提前致谢
克里斯
有几个更新在Windows Server 2003中添加SHA-256支持。您需要的是KB2868626 ; 安装此更新后将使您能够在Server 2003 SP2上安装SHA-256 SSL证书。 你也可以安装下面的那个,所以你可以连接到你自己的网站。
KB938397增加了对Server 2003(SP1或SP2)的SHA-256支持。 此更新只能使Server 2003连接到使用SHA-256证书的站点,但不能自行提供(为此您需要上述KB2868626)。 还有一个额外的SHA-2更新,XP和Server 2003客户端无法从Windows Server 2008获得SHA-256证书,即KB968730 。
关于CSR生成,如果您从公共CA购买证书,则不需要在CSR中指定签名algorithm。 根据您的select和/或CA的发行政策,CA将颁发您用SHA1或SHA2签名的证书。
我曾仔细研究过,并且在Server 2003中看不到创buildSHA-256 CSR的方法。 Windows中内置了一个名为“Certreq”的实用程序。 我在certreq的Server 2003版本中看不到HashAlgorithm,但它在更高版本中存在。
我发现另一个参考是通过MMC创build一个自定义请求。 在教程中它引用了select哈希algorithm,但截图不匹配。 可能值得调查。
一些额外的资源:
SHA-256中没有SSL证书请求。
创buildCSR时,只能select大小(1024位-4096位)。
您需要将该CSR发送给将为您签名的证书颁发机构。 他们很可能会用SHA-256签名默认签名,或者提供一个列表框来selectSHA1和SHA-256。
更新:似乎CSR确实也签了名。 Windows默认使用SHA-1,但在Google上search“iis csr sha256”会发现很多指针。