Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie
Toon posts:

SBS2008 SSL certificaat change key size greyed out

Pagina: 1
Acties:

  • jimbo123
  • Registratie: november 2007
  • Laatst online: 15-10 07:45
Voor een SBS2008 server wil ik een nieuwe CSR genereren om een SSL certificaat te bestellen.
Ik wil dit niet met de SBS wizard doen omdat ik een SHA256 CSR wil hebben (SHA-1 wordt vanaf 2016 niet meer ondersteun begreep ik).

Nu volg ik deze handleiding, en die heb ik op servers met Windows 2012 R2 al vaker gebruikt:
http://www.networking4all...rvers/mmc+-+aanmaken+csr/

Echter, ik kan de key size niet op 2048 zetten omdat het veld greyed-out is.

Zoals het een echte tweaker betaamd heb ik natuurlijk Google gebruikt en ik zag dit:
http://visualplanet.org/blog/?p=27

Dit is exact het probleem wat ik ook heb, echter de oplossing werkt in mijn geval niet.

Heeft iemand enig idee?

  • Dennism
  • Registratie: september 1999
  • Laatst online: 23:20
Is de default key size op SBS 2008 en 2011 niet 2048? Voor zover ik weet gebruiken alle Windows Server versies nieuwer dan 2003 standaard een keysize van 2048 namelijk.

Verder zou ik ook aanraden om op SBS servers de CRS te genereren via de SBS Console wanneer mogelijk, daar wanneer je dit niet er nog wel eens wat extra werk nodig is om alles netjes te krijgen. Voor zover ik weet heeft de SBS Wizard geen invloed over het feit of je een een SHA256 of SHA-1 cert krijgt daar dit voor zover ik weet afhankelijk is van de Root / Intermediate certificaten van de certificaat boer waar je de CSR gaat inschieten (ik heb i.i.g. al tijden geen SHA-1 certificaten meer ontvangen, alles wat ik aanvraag op wat voor server / appliance dan ook komt terug met SHA-2, afgezien van Certificaten van oude PKI's die nog geen SHA-2 Root c.q. Intermediate certs hebben, of Self Signed certs), Ik zou er echter met de huidige certificaat prijzen niet snel meer kiezen voor Self Signed op zaken als SBS e.d. daar het tientje dat je bespaard er net zo hard aan de andere kant weer uitgaat vanwege het meer werk dat je hebt.

[Voor 13% gewijzigd door Dennism op 17-12-2015 16:45]

Chronia Lvl 110 Warlock Diablo 3


  • jimbo123
  • Registratie: november 2007
  • Laatst online: 15-10 07:45
Bedankt voor je reactie Dennis, ik zie inderdaad dat mijn topicstart niet helemaal correct verwoord is.

De keysize kan ik in de SBS wizard gewoon op 2048 instellen, echter je krijgt wel degelijk een SHA-1 CSR i.p.v. een SHA2(56).

Wat ik meestal doe op SBS2011 is de gewone MMC gebruiken om een 2048/SHA-2 CSR te genereren en de response van de CA vervolgens netjes importeren via de SBS wizard. Je hebt dan het voordeel dat de Wizard netjes zijn werk kan doen en dat hij gewoon een veilige SHA-2 krijgt.

Maar op deze SBS2008 server is dus mijn optie greyed out :(

Kan er via google verder ook niets meer over vinden...

  • Dennism
  • Registratie: september 1999
  • Laatst online: 23:20
jimbo123 schreef op donderdag 17 december 2015 @ 17:37:
Bedankt voor je reactie Dennis, ik zie inderdaad dat mijn topicstart niet helemaal correct verwoord is.

De keysize kan ik in de SBS wizard gewoon op 2048 instellen, echter je krijgt wel degelijk een SHA-1 CSR i.p.v. een SHA2(56).

Wat ik meestal doe op SBS2011 is de gewone MMC gebruiken om een 2048/SHA-2 CSR te genereren en de response van de CA vervolgens netjes importeren via de SBS wizard. Je hebt dan het voordeel dat de Wizard netjes zijn werk kan doen en dat hij gewoon een veilige SHA-2 krijgt.

Maar op deze SBS2008 server is dus mijn optie greyed out :(

Kan er via google verder ook niets meer over vinden...
Misschien is het een feature van SBS 2008, moet zeggen dat ik die ook al jaren niet meer tegen gekomen ben in het wild.

Maar in principe mag het niet uitmaken of het een SHA-1 of SHA-2 (of hoger) request is. Bij bijv. Exchange 2013 kan je helemaal geen voorkeur voor SHA-1 of SHA-2 opgeven (onderwater is het echter SHA-1), maar iedere fatsoenlijke certificaat boer zal enkel nog SHA-2 (of hoger) gebruiken. Ik gebruik zelf bijv vrij veel certificaten van Comodo de laatste tijd voor simpele zaken als exchange certificaten e.d. en onafhankelijk van de CSR (ook al zijn die onderwater SHA-1 uit oudere systemen) komen ze allemaal met SHA-256 terug (in het geval van Comodo, heb net de laatste 5 certificaten nog even gechecked).

Zie bijv. ook deze FAQ van een partij waar ik regelmatig bestel https://www.sslcertificat...logie/SHA-2_ondersteuning

[Voor 5% gewijzigd door Dennism op 17-12-2015 18:47]

Chronia Lvl 110 Warlock Diablo 3



Microsoft Xbox Series X LG CX Google Pixel 5 CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True