Aktivieren der SHA2-Zertifikatunterstützung unter Windows Server 2003

11

Zuerst ein paar Hintergrundinformationen. Ich habe ein SSIS-Paket, das in einer 32-Bit-Umgebung von Windows Server 2003 SP2 ausgeführt wird. Das Paket schlug kürzlich mit dem folgenden Fehler während einer Skriptaufgabe fehl, die eine Webseite über eine SSL-Verbindung herunterlädt:

"The underlying connection was closed: Could not establish trust relationship for the SSL/TLS secure channel.

Einige Grabungen ergaben einige Dinge: Ich konnte auch nicht mit IE8 vom Server auf die betreffende Website zugreifen (ich kann mit Firefox), und der Website wurde gerade ein neues SHA256-Zertifikat ausgestellt.

Nach einigen Recherchen gehe ich derzeit davon aus, dass das Problem darin besteht, dass ich auf diesem Server keine Unterstützung für SHA2-Zertifikate habe. Ich habe das Zertifikat von der Site abgerufen und ausgeführt CertUtil -verify [cert file], was das folgende Ergebnis ergibt:

 The signature of the certificate can not be verified. 0x80096004 (-2146869244)

Ich habe einige Hotfixes von Microsoft gefunden, und soweit ich weiß, sollte jeder die Unterstützung für SHA2-Zertifikate ermöglichen:

Also habe ich den Hotfix für kb968730 angefordert und versucht, ihn zu installieren, aber den folgenden Fehler erhalten:

The installation cannot continue because the following packages might not be valid:
    KB2616676_V2 c:\windows\system32\dllcache\crypt32.dll 5.131.3790.4905
    KB2616676_V2 c:\windows\system32\crypt32.dll          5.131.3790.4905
Reinstall the packages listed above, and then reinstall KB968730

Die Version der crypt32-Bibliothek, die im Hotfix enthalten ist, lautet 5.131.3790.4477. Dies erklärt, warum das Installationsprogramm nicht fortgesetzt wird.

Zu diesem Zeitpunkt bin ich mir nicht ganz sicher, was ich tun muss. Der Artikel kb968730 gibt an, dass crypt32.dll die einzige Datei ist, die durch den Hotfix aktualisiert wird. Dies lässt mich denken, da ich bereits eine neuere Version habe, sollte ich diese Funktionalität nicht bereits haben? Aber es scheint, als ob ich es nicht tue, es sei denn, ich irre mich über die Grundursache des Problems.

windows-server-2003 ssl-certificate hash grin0048
quelle
Haben Sie versucht, das zu tun, was gesagt wurde, und die oben aufgeführten Pakete neu zu installieren ?
Michael Hampton
1
I hatte nicht. Ich habe ein wenig nach dieser Fehlermeldung gesucht, und es klingt so, als würden Sie diese erhalten, wenn Sie versuchen, Pakete zu installieren, die älter sind als die, die Sie bereits haben.
grin0048
Google Diese Antwort führt zu den richtigen Hotfixes. Der Standard- Hotfix-Download ist jedoch für Server 2003 64-Bit . Wenn Sie die Fehlermeldung erhalten, dass die Datei für eine andere Architektur bestimmt ist, klicken Sie auf den Link, um alle Sprachen und Versionen anzuzeigen, und Sie können das x86-Paket herunterladen. Die direkte Verbindung zum 32-Bit-Hotfix von Server 2003 und SBS 2003 lautet hotfixv4.microsoft.com/Windows%20Server%202003/sp3/Fix262679/…
entartet
Dies wurde zur Fehlerbehebung verwendet und zu beheben ein Problem mit: dps.ws.hmrc.gov.uk/dpsauthentication/service Vor allem die Tatsache , dass es nicht in IE8 nicht geladen werden (auf den meisten Windows 2003 - Server - Maschinen einige unserer Kunden haben)
reckface

Antworten:

4

Die Version Crypt32.dll 5.131.3790.5235 behebt das Problem (nach einem Neustart). Es ist unter http://support2.microsoft.com/kb/2868626 verfügbar

Die zuvor installierte Version war die Version 5.131.3790.5014 und hat das Problem nicht behoben. Laut diesem Beitrag ( https://mendel129.wordpress.com/tag/crypt32-dll/ ) gibt es zwei Varianten der 5014-Version: eine aus Windows Update (KB2661254, funktioniert nicht) und eine andere als QFE (KB968730) ).

Ein Phu
quelle
2

Dieses Problem wird durch die Installation von KB3072630 behoben , die automatisch installiert wird, wenn Sie Windows Update aktiviert haben. Die Versionsnummer von Crypt32.dll lautet nach dem Update 5.131.3790.5668.

KB938397 und KB968730 sind veraltet und werden durch das obige Update ersetzt.

Vinix
quelle
0

Ich habe diesen Fehler ebenfalls erhalten. Ich würde fortfahren und das Zertifikat auf dem angegebenen Server installieren und diesen Fehler erhalten. Meine Lösung bestand darin, dass ich das Stamm- / Zwischenzertifikat auf jedem Server installieren musste, der dieses bestimmte Zertifikat aufgerufen hatte. Dies lag wahrscheinlich daran, dass ich gerade meine interne Zertifizierungsstelle aktualisiert hatte.

Wenn also X Server dieses Zertifikat aufrufen, installieren Sie es auf diesen Servern. Das hat mein Problem gelöst.

Senciso
quelle
Obwohl Sie dieselbe Fehlermeldung erhalten haben, hatten Sie ein anderes Problem. Ihre Antwort hilft nicht, die SHA2-Unterstützung unter Windows Server 2003 zu aktivieren. Möglicherweise ist es besser, eine Frage zu finden, die der Antwort, die Sie haben, besser entspricht.
Ladadadada