在Windows Server 2003上启用SHA2证书支持

首先了解一些背景信息。我有一个在Windows Server 2003 SP2 32位环境中运行的SSIS程序包。在脚本任务期间，该软件包最近开始失败，并出现以下错误，该脚本任务使用SSL连接下载网页：

"The underlying connection was closed: Could not establish trust relationship for the SSL/TLS secure channel.

一些挖掘显示出两件事：我也无法从服务器使用IE8访问有问题的网站（我可以使用Firefox），并且该网站刚刚获得了新的SHA256证书。

经过研究后，我目前的假设是问题在于我在此服务器上不支持SHA2证书。我从网站上获取了证书并运行CertUtil -verify [cert file]，结果如下：

 The signature of the certificate can not be verified. 0x80096004 (-2146869244)

我从Microsoft找到了几个修复程序，据我了解，它们中的任何一个都应启用对SHA2证书的支持：

• http://support.microsoft.com/kb/938397
• http://support.microsoft.com/kb/968730

因此，我请求了kb968730的修补程序，并尝试安装它，但收到以下错误：

The installation cannot continue because the following packages might not be valid:
    KB2616676_V2 c:\windows\system32\dllcache\crypt32.dll 5.131.3790.4905
    KB2616676_V2 c:\windows\system32\crypt32.dll          5.131.3790.4905
Reinstall the packages listed above, and then reinstall KB968730

修补程序附带的crypt32库的版本为5.131.3790.4477，这说明了为什么无法继续进行安装。

在这一点上，我不确定我需要做什么。kb968730文章指出crypt32.dll是由该修补程序更新的唯一文件，该文件使我认为，由于我已经具有较新的版本，因此我不应该已经具有此功能吗？但是，除非我对问题的根本原因有所误解，否则我似乎没有。

Crypt32.dll 5.131.3790.5235版本解决了该问题（重新启动后）。可从 http://support2.microsoft.com/kb/2868626获得

先前安装的版本是5.131.3790.5014版本，但无法解决该问题。根据这篇文章（https://mendel129.wordpress.com/tag/crypt32-dl​​l/），有5014版本的两种变体：一种来自Windows Update（KB2661254，不起作用），另一种作为QFE（KB968730）。 ）。

通过安装KB3072630可以解决此问题，如果启用了Windows Update，它将自动安装。更新后，Crypt32.dll的版本号是5.131.3790.5668。

不推荐使用KB938397和KB968730，并由上述更新代替。

我也收到此错误。我将继续并将证书安装到指定的服务器上，并得到此错误。我的解决方案是我必须继续在每个调用该特定证书的服务器上安装根/中间证书。这可能是因为我刚刚更新了内部CA。

因此，如果有X台服务器调用该证书，请将其安装在这些服务器上。那解决了我的问题。