Sha-1 は、署名アルゴリズムで使用される場合は、DigestInfo は CSR で不足しています。

重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。

英語版 KB:3080171
現象
Certutil.exe ツールを要求 (Csr) の証明書の署名を確認するのには、certutil.exe を返しますを使用すると、Csr には、上が含まれている場合でも次のメッセージは (せずに、DigestInfo の ASN.1 構造体) のハッシュ値を署名しました。
署名には、公開キーが一致します。

注:
  • 期待される DigestInfo の ASN.1 構造にだけではなくハッシュ データが含まれているために、Certutil.exe 必要があります、署名済みのハッシュ値のみで Csr を検証できません。
  • Openssl など、他のツールは、無効なものとして Csr をマークします。
Sha-1 で使用する署名アルゴリズムでは、次のように、この問題が発生する"1.2.840.113549.1.1.5 sha1RSA」。

Sha-2 を使用して、CSR は署名すると"1.2.840.113549.1.1.11 sha256RSA、「certutil.exe が予想される次のエラーを返します。

0XC000A000 (NT: 0XC000A000 STATUS_INVALID_SIGNATURE)

注: <b>この問題は、作成した署名は、sha-1 に限定されます。
原因
この問題は、CryptoAPI スタック内の基になるコンポーネントとやり取りするには、その CAPI2uses をさまざまな方法のために発生します。メソッドを以下に示します。
  • CAPI 2 を使用してレガシ暗号化 API 1 (CAPI 1) sha-1、および CAPI 1allows、DigestInfo 不足している場合。
  • CAPI 2 SHA 2 の場合、暗号化 API ・次生成 (CNG) を使用して、CNG では、なくなっているように DigestInfo することはできません。
この資料では、certutil.exe を使用する場合に発生する問題のみを説明とまったく同じよう certutil.exe CryptoAPI を使用するアプリケーションが使用します。
詳細

CSR によって署名されているを確認する"1.2.840.113549.1.1.5 sha1RSA」と DigestInfo なし。

PKCS10 Certificate Request: Version: 1 Subject: CN=Test User Signature Algorithm: Algorithm ObjectId: 1.2.840.113549.1.1.5 sha1RSA Algorithm Parameters: 05 00 Signature: UnusedBits=0 0000 88 fc ea 9b cb 35 17 b8 3c 4a be e1 c9 94 23 e3 00f0 71 5c 8f 81 5f 24 bd af 4b 00 ea e2 b4 08 6f 3f Signature matches Public Key Key Id Hash(rfc-sha1): b3 1c 76 1c d9 67 d2 8d 62 15 4a 1c 47 4d dd a6 65 03 9d 5d Key Id Hash(sha1): fb b1 8f 14 39 5c fb 63 81 90 56 e8 37 e1 9b bd e2 a6 79 64 CertUtil: -dump command completed successfully. 

CSR によって署名されているを確認する"1.2.840.113549.1.1.11 sha256RSA"と DigestInfo なし。

PKCS10 Certificate Request: Version: 1 Subject: CN=Test User Signature Algorithm: Algorithm ObjectId: 1.2.840.113549.1.1.11 sha256RSA Algorithm Parameters: 05 00 Signature: UnusedBits=0 0000 2c 23 b3 36 f4 10 10 94 99 02 95 8f 64 1d 71 0c 00f0 6c f4 13 ae 0e 6b b1 ef c4 1e 10 c0 1f 34 4d 16 Signature does not match Public key: c000a000 Cannot decode object: The cryptographic signature is invalid. 0xc000a000 (NT: 0xc000a000 STATUS_INVALID_SIGNATURE) CertUtil: -dump command FAILED: 0xc000a000 (NT: 0xc000a000 STATUS_INVALID_SIGNATURE) CertUtil: The cryptographic signature is invalid. 


警告: この記事は自動翻訳されています

プロパティ

文書番号:3080171 - 最終更新日: 12/03/2015 16:36:00 - リビジョン: 2.0

Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Foundation, Windows Server 2012 R2 Essentials, Windows 8.1 Enterprise, Windows 8.1 Pro, Windows 8.1

  • kbsurveynew kbexpertiseadvanced kbprb kbtshoot kbmt KB3080171 KbMtja
フィードバック