Aktivieren der SHA2-Zertifikatunterstützung unter Windows Server 2003

Zuerst ein paar Hintergrundinformationen. Ich habe ein SSIS-Paket, das in einer 32-Bit-Umgebung von Windows Server 2003 SP2 ausgeführt wird. Das Paket schlug kürzlich mit dem folgenden Fehler während einer Skriptaufgabe fehl, die eine Webseite über eine SSL-Verbindung herunterlädt:

"The underlying connection was closed: Could not establish trust relationship for the SSL/TLS secure channel.

Einige Grabungen ergaben einige Dinge: Ich konnte auch nicht mit IE8 vom Server auf die betreffende Website zugreifen (ich kann mit Firefox), und der Website wurde gerade ein neues SHA256-Zertifikat ausgestellt.

Nach einigen Recherchen gehe ich derzeit davon aus, dass das Problem darin besteht, dass ich auf diesem Server keine Unterstützung für SHA2-Zertifikate habe. Ich habe das Zertifikat von der Site abgerufen und ausgeführt CertUtil -verify [cert file], was das folgende Ergebnis ergibt:

 The signature of the certificate can not be verified. 0x80096004 (-2146869244)

Ich habe einige Hotfixes von Microsoft gefunden, und soweit ich weiß, sollte jeder die Unterstützung für SHA2-Zertifikate ermöglichen:

• http://support.microsoft.com/kb/938397
• http://support.microsoft.com/kb/968730

Also habe ich den Hotfix für kb968730 angefordert und versucht, ihn zu installieren, aber den folgenden Fehler erhalten:

The installation cannot continue because the following packages might not be valid:
    KB2616676_V2 c:\windows\system32\dllcache\crypt32.dll 5.131.3790.4905
    KB2616676_V2 c:\windows\system32\crypt32.dll          5.131.3790.4905
Reinstall the packages listed above, and then reinstall KB968730

Die Version der crypt32-Bibliothek, die im Hotfix enthalten ist, lautet 5.131.3790.4477. Dies erklärt, warum das Installationsprogramm nicht fortgesetzt wird.

Zu diesem Zeitpunkt bin ich mir nicht ganz sicher, was ich tun muss. Der Artikel kb968730 gibt an, dass crypt32.dll die einzige Datei ist, die durch den Hotfix aktualisiert wird. Dies lässt mich denken, da ich bereits eine neuere Version habe, sollte ich diese Funktionalität nicht bereits haben? Aber es scheint, als ob ich es nicht tue, es sei denn, ich irre mich über die Grundursache des Problems.

Die Version Crypt32.dll 5.131.3790.5235 behebt das Problem (nach einem Neustart). Es ist unter http://support2.microsoft.com/kb/2868626 verfügbar

Die zuvor installierte Version war die Version 5.131.3790.5014 und hat das Problem nicht behoben. Laut diesem Beitrag ( https://mendel129.wordpress.com/tag/crypt32-dll/ ) gibt es zwei Varianten der 5014-Version: eine aus Windows Update (KB2661254, funktioniert nicht) und eine andere als QFE (KB968730) ).

Dieses Problem wird durch die Installation von KB3072630 behoben , die automatisch installiert wird, wenn Sie Windows Update aktiviert haben. Die Versionsnummer von Crypt32.dll lautet nach dem Update 5.131.3790.5668.

KB938397 und KB968730 sind veraltet und werden durch das obige Update ersetzt.

Ich habe diesen Fehler ebenfalls erhalten. Ich würde fortfahren und das Zertifikat auf dem angegebenen Server installieren und diesen Fehler erhalten. Meine Lösung bestand darin, dass ich das Stamm- / Zwischenzertifikat auf jedem Server installieren musste, der dieses bestimmte Zertifikat aufgerufen hatte. Dies lag wahrscheinlich daran, dass ich gerade meine interne Zertifizierungsstelle aktualisiert hatte.

Wenn also X Server dieses Zertifikat aufrufen, installieren Sie es auf diesen Servern. Das hat mein Problem gelöst.