Pregunta Habilitar el soporte de certificados SHA2 en Windows Server 2003


Un poco de información de fondo primero. Tengo un paquete SSIS que se ejecuta dentro de un entorno de 32 bits de Windows Server 2003 SP2. El paquete recientemente comenzó a fallar con el siguiente error durante una tarea de script que descarga una página web mediante una conexión SSL:

"The underlying connection was closed: Could not establish trust relationship for the SSL/TLS secure channel.

Algunas excavaciones revelaron un par de cosas: tampoco pude acceder al sitio web en cuestión utilizando IE8 desde el servidor (puedo con Firefox), y el sitio web acaba de recibir un nuevo certificado SHA256.

Después de investigar un poco, mi suposición actual es que el problema es que no tengo soporte para los certificados SHA2 en este servidor. Tomé el certificado del sitio y corrí CertUtil -verify [cert file] lo que da el siguiente resultado:

 The signature of the certificate can not be verified. 0x80096004 (-2146869244)

Encontré un par de revisiones de Microsoft y, según entiendo, cualquiera de ellas debería habilitar el soporte para los certificados SHA2:

Así que solicité el hotfix para kb968730 e intenté instalarlo, pero obtuve el siguiente error:

The installation cannot continue because the following packages might not be valid:
    KB2616676_V2 c:\windows\system32\dllcache\crypt32.dll 5.131.3790.4905
    KB2616676_V2 c:\windows\system32\crypt32.dll          5.131.3790.4905
Reinstall the packages listed above, and then reinstall KB968730

La versión de la biblioteca crypt32 que se incluye con la revisión es 5.131.3790.4477, que explica por qué el instalador no continúa.

En este punto no estoy muy seguro de lo que tengo que hacer. El artículo kb968730 indica que crypt32.dll es el único archivo actualizado por la revisión que me hace pensar, ya que ya tengo una versión más reciente, ¿no debería ya tener esta funcionalidad? Pero, parece que no lo hago, a menos que me equivoque sobre la causa raíz del problema.


11
2018-06-20 15:25


origen


¿Has intentado hacer lo que decía y reinstalando los paquetes listados arriba? - Michael Hampton♦
Yo no tengo. Busqué un poco de información sobre ese mensaje de error, y parece que eso es lo que obtendrás si intentas instalar paquetes que son más antiguos que los que ya tienes. - grin0048
Google esta respuesta conduce a las revisiones correctas, sin embargo la defecto La descarga de la revisión es para Server 2003 64 bits. Si recibe el error de que el archivo es para una arquitectura diferente, haga clic en el enlace para mostrar todos los idiomas y versiones, y puede descargar el paquete x86. El enlace directo a la revisión de 32 bits de Server 2003 y SBS 2003 es hotfixv4.microsoft.com/Windows%20Server%202003/sp3/Fix262679/… - degenerate
Esto se usó para solucionar y solucionar un problema con: dps.ws.hmrc.gov.uk/dpsauthentication/service Especialmente el hecho de que no se carga en IE8 (en la mayoría de las máquinas con servidores Windows 2003 que tienen algunos de nuestros clientes) - reckface


Respuestas:


La versión Crypt32.dll 5.131.3790.5235 soluciona el problema (después de un reinicio). Está disponible en http://support2.microsoft.com/kb/2868626

La versión instalada anteriormente era la versión 5.131.3790.5014 y no solucionó el problema. Según este post (https://mendel129.wordpress.com/tag/crypt32-dll/), hay dos variantes de la versión 5014: una de Windows Update (KB2661254, no funciona) y otra como QFE (KB968730).


4
2017-09-29 17:50





Este problema se soluciona instalando KB3072630, que se instala automáticamente si tienes Windows Update habilitado. El número de versión de Crypt32.dll es 5.131.3790.5668 después de la actualización.

KB938397 y KB968730 están en desuso y son reemplazados por la actualización anterior.


2
2018-01-19 03:59





También recibí este error. Seguiría adelante e instalaría el certificado en el servidor designado y obtendría este error. Mi solución fue que tenía que seguir adelante e instalar el certificado raíz / intermedio en cada servidor que llamaba a ese certificado específico. Esto fue probablemente porque acababa de actualizar mi CA interna.

Entonces, si hay X cantidad de servidores que llaman a ese certificado, instálelo en esos servidores. Eso se encargó de mi problema.


0
2017-09-28 14:56



Aunque recibió el mismo mensaje de error, tuvo un problema diferente. Su respuesta no ayuda a habilitar el soporte de SHA2 en Windows Server 2003. Es mejor que encuentre una pregunta que coincida más con la respuesta que tiene. - Ladadadada