Windows Server 2003でのSHA2証明書サポートの有効化

最初に少しの背景情報。Windows Server 2003 SP2 32ビット環境内で実行されるSSISパッケージがあります。パッケージは最近、SSL接続を使用してWebページをダウンロードするスクリプトタスク中に次のエラーで失敗し始めました。

"The underlying connection was closed: Could not establish trust relationship for the SSL/TLS secure channel.

いくつかの掘り下げにより、いくつかのことが明らかになりました。サーバーからIE8を使用して問題のWebサイトにアクセスできず（Firefoxで可能）、Webサイトに新しいSHA256証明書が発行されたばかりです。

いくつかの調査を行った後、私の現在の仮定は、問題はこのサーバーでSHA2証明書をサポートしていないということです。サイトから証明書を取得して実行するCertUtil -verify [cert file]と、次の結果が得られました。

 The signature of the certificate can not be verified. 0x80096004 (-2146869244)

Microsoftからいくつかの修正プログラムを見つけましたが、私が理解していることから、どちらを使用してもSHA2証明書のサポートが有効になります。

• http://support.microsoft.com/kb/938397
• http://support.microsoft.com/kb/968730

そのため、kb968730の修正プログラムを要求してインストールしようとしましたが、次のエラーが発生しました。

The installation cannot continue because the following packages might not be valid:
    KB2616676_V2 c:\windows\system32\dllcache\crypt32.dll 5.131.3790.4905
    KB2616676_V2 c:\windows\system32\crypt32.dll          5.131.3790.4905
Reinstall the packages listed above, and then reinstall KB968730

修正プログラムに含まれているcrypt32ライブラリのバージョンは5.131.3790.4477であり、インストーラーが続行しない理由を説明しています。

この時点で、私は何をする必要があるのか​​よくわかりません。kb968730の記事には、crypt32.dllが修正プログラムによって更新される唯一のファイルであり、新しいバージョンを既に持っているので、この機能を既に持っているべきではないと考えています。しかし、問題の根本原因について誤解しない限り、私はそうしないように思えます。

Crypt32.dll 5.131.3790.5235バージョンは、問題を修正します（再起動後）。http://support2.microsoft.com/kb/2868626で入手できます。

以前にインストールされたバージョンは5.131.3790.5014バージョンであり、問​​題は修正されませんでした。この投稿（https://mendel129.wordpress.com/tag/crypt32-dl​​l/）によると、5014バージョンには2つの亜種があります。1つはWindows Update（KB2661254、機能しません）からのもので、もう1つはQFE（KB968730 ）。

この問題は、Windows Updateが有効になっている場合に自動的にインストールされるKB3072630をインストールすることで解決されます。更新後、Crypt32.dllのバージョン番号は5.131.3790.5668です。

KB938397およびKB968730は廃止され、上記の更新プログラムに置き換えられました。

このエラーも受け取りました。先に進み、指定されたサーバーに証明書をインストールし、このエラーを取得します。私の解決策は、特定の証明書を呼び出した各サーバーにルート/中間証明書をインストールする必要があるということでした。これはおそらく、内部CAを更新したばかりだったためです。

そのため、その証明書を呼び出すサーバーがX個ある場合は、それらのサーバーにインストールします。それが私の問題の面倒を見てくれました。