Habilitando o suporte ao certificado SHA2 no Windows Server 2003

11

Um pouco de informação de fundo primeiro. Eu tenho um pacote SSIS que é executado dentro de um ambiente de 32 bits do Windows Server 2003 SP2. O pacote começou recentemente a falhar com o seguinte erro durante uma tarefa de script que baixa uma página da Web usando uma conexão SSL:

"The underlying connection was closed: Could not establish trust relationship for the SSL/TLS secure channel.

Algumas escavações revelaram algumas coisas: eu também não consegui acessar o site em questão usando o IE8 a partir do servidor (eu posso com o Firefox), e o site acabara de receber um novo certificado SHA256.

Depois de fazer algumas pesquisas, minha suposição atual é que o problema é que não tenho suporte para certificados SHA2 neste servidor. Peguei o certificado no site e executei o CertUtil -verify [cert file]que resulta no seguinte resultado:

 The signature of the certificate can not be verified. 0x80096004 (-2146869244)

Encontrei alguns hotfixes da Microsoft e, pelo que entendi, qualquer um deles deve habilitar o suporte para certificados SHA2:

Por isso, solicitei o hotfix para kb968730 e tentei instalá-lo, mas obtive o seguinte erro:

The installation cannot continue because the following packages might not be valid:
    KB2616676_V2 c:\windows\system32\dllcache\crypt32.dll 5.131.3790.4905
    KB2616676_V2 c:\windows\system32\crypt32.dll          5.131.3790.4905
Reinstall the packages listed above, and then reinstall KB968730

A versão da biblioteca crypt32 incluída no hotfix é 5.131.3790.4477, o que explica por que o instalador não continua.

Neste ponto, não tenho muita certeza do que preciso fazer. O artigo kb968730 indica que o crypt32.dll é o único arquivo atualizado pelo hotfix que me faz pensar que, como eu já tenho uma versão mais recente, eu já não deveria ter essa funcionalidade? Mas, parece que não, a menos que eu esteja enganado sobre a causa raiz do problema.

grin0048
fonte
Você já tentou fazer o que dizia e reinstalar os pacotes listados acima ?
Michael Hampton
1
Eu não tenho. Eu dei uma espiada na mensagem de erro, e parece que é isso que você terá se estiver tentando instalar pacotes mais antigos do que os que você já possui.
grin0048
No Google, essa resposta leva aos hotfixes corretos, no entanto, o download padrão do hotfix é para o Server 2003 de 64 bits . Se você receber o erro de que o arquivo é para uma arquitetura diferente, clique no link para mostrar todos os idiomas e versões e você pode baixar o pacote x86. O link direto para o hotfix de 32 bits do Server 2003 e SBS 2003 é hotfixv4.microsoft.com/Windows%20Server%202003/sp3/Fix262679/…
degenerado em
Isso foi usado para solucionar problemas e corrigir um problema com: dps.ws.hmrc.gov.uk/dpsauthentication/service Especialmente o fato de ele não carregar no IE8 (na maioria das máquinas servidores Windows 2003 que alguns de nossos clientes possuem)
reckface

Respostas:

2

Esse problema é resolvido com a instalação do KB3072630 , que é instalado automaticamente se o Windows Update estiver ativado. O número da versão do Crypt32.dll é 5.131.3790.5668 após a atualização.

KB938397 e KB968730 foram preteridos e substituídos pela atualização acima.

Vinix
fonte
0

Eu recebi esse erro também. Gostaria de instalar o certificado no servidor designado e obter esse erro. Minha solução foi que eu tinha que ir em frente e instalar o certificado raiz / intermediário em cada servidor que chamava para esse certificado específico. Provavelmente porque eu tinha acabado de atualizar minha CA interna.

Portanto, se houver uma quantidade X de servidores que chamam para esse certificado, instale-o nesses servidores. Isso cuidou do meu problema.

Senciso
fonte
Embora você tenha recebido a mesma mensagem de erro, teve um problema diferente. Sua resposta não ajuda a habilitar o suporte ao SHA2 no Windows Server 2003. Talvez seja melhor encontrar uma pergunta que corresponda mais à sua resposta.
Ladadadada 28/09/16