如何解决 Windows 2003 server 不能正常显示 SHA2签名算法SSL证书
您在Windows 2003 Server上点击WoSign颁发的SHA2签名算法SSL证书时,如果显示如下图1所示证书错误信息,这有可能是FTP传输证书公钥文件时损坏了证书文件。请再点击“详细信息”,如果你看到如下图2所示的“签名算法: 1.2.840.113549.1.1.11”,那就排除了文件已经损坏的可能,一定是您的Windows 2003 Servre不支持 SHA256签名算法。您需要下载微软HotFix KB968730 补丁( X86平台中文、X86平台英文、X64平台中文、X64平台英文 ),安装后就会正常显示SHA256 签名算法了,如下图3所示。
请注意: WoSign 颁发给用户的证书缺省采用SHA1签名算法,主要还是考虑到有许多用户电脑的Windows XP系统不支持SHA256签名算法。但由于SHA1签名算法仍然存在可能在不久的将来被破解的可能,所以微软根据美国国家标准技术研究院(NIST)发出的安全指引,在有关文档“SHA2 and Windows” 中要求所有受信任的证书颁发机构(CA)从2012年1月1日起都必须能根据用户的要求签发支持SHA256的数字证书,所有操作系统和服务器软件等各种相关软件都必须能支持SHA256签名算法,请参考 SP 800-78-2 和 SP 800-57)。 WoSign 新证书颁发系统现在提前半年多支持签发SHA2证书,用户可以选择要求其证书是用SHA1签名还是用SHA2签名。