Habilitación de la compatibilidad con certificados SHA2 en Windows Server 2003

11

Un poco de información de fondo primero. Tengo un paquete SSIS que se ejecuta dentro de un entorno Windows Server 2003 SP2 de 32 bits. El paquete comenzó a fallar recientemente con el siguiente error durante una tarea de script que descarga una página web utilizando una conexión SSL:

"The underlying connection was closed: Could not establish trust relationship for the SSL/TLS secure channel.

Algunas excavaciones revelaron un par de cosas: tampoco pude acceder al sitio web en cuestión usando IE8 desde el servidor (sí puedo con Firefox), y el sitio web acababa de recibir un nuevo certificado SHA256.

Después de investigar un poco, mi suposición actual es que el problema es que no tengo soporte para certificados SHA2 en este servidor. Tomé el certificado del sitio y lo ejecuté, lo CertUtil -verify [cert file]que da el siguiente resultado:

 The signature of the certificate can not be verified. 0x80096004 (-2146869244)

Encontré un par de revisiones de Microsoft, y por lo que entiendo, cualquiera de ellos debería habilitar el soporte para certificados SHA2:

Entonces solicité el hotfix para kb968730 e intenté instalarlo, pero recibí el siguiente error:

The installation cannot continue because the following packages might not be valid:
    KB2616676_V2 c:\windows\system32\dllcache\crypt32.dll 5.131.3790.4905
    KB2616676_V2 c:\windows\system32\crypt32.dll          5.131.3790.4905
Reinstall the packages listed above, and then reinstall KB968730

La versión de la biblioteca crypt32 que se incluye con la revisión es 5.131.3790.4477, lo que explica por qué el instalador no continuará.

En este punto no estoy muy seguro de lo que necesito hacer. El artículo kb968730 indica que crypt32.dll es el único archivo actualizado por la revisión, lo que me hace pensar que, dado que ya tengo una versión más nueva, ¿no debería tener esta funcionalidad? Pero, parecería que no, a menos que me equivoque acerca de la causa raíz del problema.

grin0048
fuente
¿Has intentado hacer lo que decía y reinstalar los paquetes mencionados anteriormente ?
Michael Hampton
1
Yo no tengo. Revisé un poco el mensaje de error, y parece que eso es lo que obtendrás si intentas instalar paquetes que son más antiguos que los que ya tienes.
grin0048
Google esta respuesta lleva a las revisiones correctas, sin embargo, la descarga de la revisión predeterminada es para Server 2003 de 64 bits . Si recibe el error de que el archivo es para una arquitectura diferente, haga clic en el enlace para mostrar todos los idiomas y versiones, y puede descargar el paquete x86. El enlace directo a la revisión de 32 bits de Server 2003 y SBS 2003 es hotfixv4.microsoft.com/Windows%20Server%202003/sp3/Fix262679/…
degenera el
Esto fue utilizado para localizar y resolver un problema con: dps.ws.hmrc.gov.uk/dpsauthentication/service Especialmente el hecho de que no se carga en IE8 (en la mayoría de las máquinas de servidor Windows 2003 algunos de nuestros clientes tienen)
reckface

Respuestas:

2

Este problema se resuelve instalando KB3072630 , que se instala automáticamente si tiene Windows Update habilitado. El número de versión de Crypt32.dll es 5.131.3790.5668 después de la actualización.

KB938397 y KB968730 están en desuso y se reemplazan por la actualización anterior.

Vinix
fuente
0

Recibí este error también. Continuaría e instalaría el certificado en el servidor designado y obtendría este error. Mi solución fue que tenía que seguir adelante e instalar el certificado raíz / intermedio en cada servidor que llamaba a ese certificado específico. Esto fue probablemente porque acababa de actualizar mi CA interna.

Entonces, si hay una cantidad X de servidores que llaman a ese certificado, instálelo en esos servidores. Eso se encargó de mi problema.

Senciso
fuente
Aunque recibió el mismo mensaje de error, tenía un problema diferente. Su respuesta no ayuda a habilitar el soporte SHA2 en Windows Server 2003. Es mejor que encuentre una pregunta que coincida más estrechamente con la respuesta que tiene.
Ladadadada