Kích hoạt hỗ trợ chứng chỉ SHA2 trên Windows Server 2003

Một chút thông tin cơ bản đầu tiên. Tôi có gói SSIS chạy trong môi trường Windows Server 2003 SP2 32 bit. Gói gần đây đã bắt đầu không thành công với lỗi sau trong tác vụ tập lệnh tải xuống trang web bằng kết nối SSL:

"The underlying connection was closed: Could not establish trust relationship for the SSL/TLS secure channel.

Một số hoạt động đào đã tiết lộ một số điều: Tôi cũng không thể truy cập trang web được đề cập bằng IE8 từ máy chủ (tôi có thể với Firefox) và trang web vừa được cấp chứng chỉ SHA256 mới.

Sau khi thực hiện một số nghiên cứu, giả định hiện tại của tôi là vấn đề là tôi không có hỗ trợ cho chứng chỉ SHA2 trên máy chủ này. Tôi đã lấy chứng chỉ từ trang web và chạy CertUtil -verify [cert file]kết quả như sau:

 The signature of the certificate can not be verified. 0x80096004 (-2146869244)

Tôi đã tìm thấy một vài hotfix từ Microsoft và từ những gì tôi hiểu, một trong số chúng sẽ kích hoạt hỗ trợ cho chứng chỉ SHA2:

• http://support.microsoft.com/kb/938397
• http://support.microsoft.com/kb/968730

Vì vậy, tôi đã yêu cầu hotfix cho kb968730 và cố gắng cài đặt nó, nhưng đã gặp lỗi sau:

The installation cannot continue because the following packages might not be valid:
    KB2616676_V2 c:\windows\system32\dllcache\crypt32.dll 5.131.3790.4905
    KB2616676_V2 c:\windows\system32\crypt32.dll          5.131.3790.4905
Reinstall the packages listed above, and then reinstall KB968730

Phiên bản của thư viện crypt32 đi kèm với hotfix là 5.131.3790.4477 giải thích lý do tại sao trình cài đặt sẽ không tiếp tục.

Tại thời điểm này tôi không chắc chắn những gì tôi cần làm. Bài viết kb968730 chỉ ra rằng crypt32.dll là tệp duy nhất được cập nhật bởi hotfix khiến tôi nghĩ rằng, vì tôi đã có phiên bản mới hơn, tôi có nên có chức năng này không? Nhưng, dường như tôi không làm thế, trừ khi tôi nhầm về nguyên nhân cốt lõi của vấn đề.

Phiên bản Crypt32.dll 5.131.3790.5235 khắc phục sự cố (sau khi khởi động lại). Nó có sẵn tại http://support2.microsoft.com/kb/2868626

Phiên bản được cài đặt trước đó là phiên bản 5.131.3790.5014 và nó không khắc phục được sự cố. Theo bài đăng này ( https://mendel129.wordpress.com/tag/crypt32-dll/ ), có hai biến thể của phiên bản 5014: một biến thể từ Windows Update (KB2661254, không hoạt động) và một biến thể khác là QFE (KB968730 ).

Vấn đề này được giải quyết bằng cách cài đặt KB3072630 , được cài đặt tự động nếu bạn bật Windows Update. Số phiên bản của Crypt32.dll là 5.131.3790.5668 sau khi cập nhật.

KB938397 và KB968730 không được dùng nữa và được thay thế bằng bản cập nhật ở trên.

Tôi đã nhận được lỗi này là tốt. Tôi sẽ tiếp tục và cài đặt chứng chỉ vào máy chủ được chỉ định và gặp lỗi này. Giải pháp của tôi là tôi phải tiếp tục và cài đặt chứng chỉ gốc / trung gian trên mỗi máy chủ được gọi đến chứng chỉ cụ thể đó. Điều này có lẽ là do tôi vừa cập nhật CA nội bộ của mình.

Vì vậy, nếu có X lượng máy chủ gọi đến chứng chỉ đó, hãy cài đặt nó trên các máy chủ đó. Điều đó quan tâm đến vấn đề của tôi.