Случается, что после установки сертификата на веб-сервер IIS, платформой для которого служит Windows 2003, получаем сообщение об ошибке:
Этот сертификат содержит недействительную цифровую подпись.
Все дело в том, что Windows 2003 (как и XP) не поддерживают алгоритм хеширования SHA2. Для них издатели сертификатов должны использовать SHA1. Но как быть, если у вас уже на руках новый сертификат. Для Windows XP проблема решается установкой SP3, а для Windows 2003 Server у Microsoft существуют исправления, предварительно рекомендуется обновиться до SP2.
Итак необходтимо скачать и установить:
В ходе исправлений будет заменена библиотека crypt32.dll. Иногда эту библиотеку приходиться заменять вручную, подробнее см. тут
Также рекомендуется установить http://support.microsoft.com/kb/948963 (обновление комплекта шифрования).
После применения исправлений необходимо перезагрузить сервер.
Cервера, совместимые с алгоритмом хеширования SHA2 (256)
- Apache server (проверен на Apache 2.0.63 and OpenSSL 0.9.7m. Требует OpenSSL 0.9.8 и выше для полной совместимости).
- Windows Server 2008 и выше
- Windows Vista
- Windows 7
- Windows Server 2003 с исправлением 938397
- Windows Server 2003 или XP с исправлением 968730
- Oracle WebLogic начиная с версии 10.3.1, см. bug8422724