SBS2008 SSL certificaat change key size greyed out

Is de default key size op SBS 2008 en 2011 niet 2048? Voor zover ik weet gebruiken alle Windows Server versies nieuwer dan 2003 standaard een keysize van 2048 namelijk.

Verder zou ik ook aanraden om op SBS servers de CRS te genereren via de SBS Console wanneer mogelijk, daar wanneer je dit niet er nog wel eens wat extra werk nodig is om alles netjes te krijgen. Voor zover ik weet heeft de SBS Wizard geen invloed over het feit of je een een SHA256 of SHA-1 cert krijgt daar dit voor zover ik weet afhankelijk is van de Root / Intermediate certificaten van de certificaat boer waar je de CSR gaat inschieten (ik heb i.i.g. al tijden geen SHA-1 certificaten meer ontvangen, alles wat ik aanvraag op wat voor server / appliance dan ook komt terug met SHA-2, afgezien van Certificaten van oude PKI's die nog geen SHA-2 Root c.q. Intermediate certs hebben, of Self Signed certs), Ik zou er echter met de huidige certificaat prijzen niet snel meer kiezen voor Self Signed op zaken als SBS e.d. daar het tientje dat je bespaard er net zo hard aan de andere kant weer uitgaat vanwege het meer werk dat je hebt.

[ Voor 13% gewijzigd door Dennism op 17-12-2015 16:45 ]

jimbo123 schreef op donderdag 17 december 2015 @ 17:37:
Bedankt voor je reactie Dennis, ik zie inderdaad dat mijn topicstart niet helemaal correct verwoord is.

De keysize kan ik in de SBS wizard gewoon op 2048 instellen, echter je krijgt wel degelijk een SHA-1 CSR i.p.v. een SHA2(56).

Wat ik meestal doe op SBS2011 is de gewone MMC gebruiken om een 2048/SHA-2 CSR te genereren en de response van de CA vervolgens netjes importeren via de SBS wizard. Je hebt dan het voordeel dat de Wizard netjes zijn werk kan doen en dat hij gewoon een veilige SHA-2 krijgt.

Maar op deze SBS2008 server is dus mijn optie greyed out

Kan er via google verder ook niets meer over vinden...

Misschien is het een feature van SBS 2008, moet zeggen dat ik die ook al jaren niet meer tegen gekomen ben in het wild.

Maar in principe mag het niet uitmaken of het een SHA-1 of SHA-2 (of hoger) request is. Bij bijv. Exchange 2013 kan je helemaal geen voorkeur voor SHA-1 of SHA-2 opgeven (onderwater is het echter SHA-1), maar iedere fatsoenlijke certificaat boer zal enkel nog SHA-2 (of hoger) gebruiken. Ik gebruik zelf bijv vrij veel certificaten van Comodo de laatste tijd voor simpele zaken als exchange certificaten e.d. en onafhankelijk van de CSR (ook al zijn die onderwater SHA-1 uit oudere systemen) komen ze allemaal met SHA-256 terug (in het geval van Comodo, heb net de laatste 5 certificaten nog even gechecked).

Zie bijv. ook deze FAQ van een partij waar ik regelmatig bestel https://www.sslcertificat...logie/SHA-2_ondersteuning

[ Voor 5% gewijzigd door Dennism op 17-12-2015 18:47 ]