DigestInfo chýba v CSR, pri v podpise algoritmus SHA-1

DÔLEŽITÉ: Tento článok je preložený pomocou softvéru na strojový preklad od spoločnosti Microsoft a možno ho opraviť prostredníctvom technológie Community Translation Framework (CTF). Microsoft ponúka strojovo preložené články, články upravené komunitou aj články preložené prekladateľmi, aby zabezpečil prístup ku všetkým článkom databázy Knowledge Base vo viacerých jazykoch. Strojovo preložené články aj upravené články môžu obsahovať chyby týkajúce sa slovnej zásoby, syntaxe alebo gramatiky. Microsoft nenesie zodpovednosť za akékoľvek nepresnosti, chyby alebo škody spôsobené neprávnym prekladom obsahu alebo jeho použitím zo strany našich zákazníkov. Ďalšie informácie o technológii CTF nájdete na lokalite http://support.microsoft.com/gp/machine-translation-corrections/sk.

Pokiaľ chcete vidieť anglickú verziu článku, kliknite sem: 3080171
Príznaky
Pri použití certutil.exe nástroj na overenie certifikátu podpis žiadosti (CSR), certutil.exe vráti nasledujúce hlásenie, aj keď zákazníkom obsahujú onlya podpísané hodnoty hash (bez DigestInfo ASN.1 štruktúry):
Podpis zodpovedá verejného kľúča

Poznámky
  • Certutil.exe mali overiť zákazníkom len podpísané hash hodnotou, pretože očakávaný DigestInfo ASN.1 štruktúra obsahuje viac než len hash údaje.
  • Iné nástroje, ako openssl, označiť zákazníkom ako neplatný.
Tento problém sa vyskytuje pri SHA-1 v podpise algoritmus, ako "1.2.840.113549.1.1.5 sha1RSA."

Keď CSR je podpísaný pomocou SHA-2, ako "1.2.840.113549.1.1.11 sha256RSA," certutil.exe vráti očakávané nasledujúca chyba:

0XC000A000 (NT: 0XC000A000 STATUS_INVALID_SIGNATURE)

Poznámka: Tento problém je obmedzený na podpisy, ktoré sú vytvorené SHA-1.
Príčina
Príčinou tohto problému spôsoby tejto CAPI2uses komunikovať s základné súčasti CryptoAPI zásobníka. Metódy zahŕňajú:
  • CAPI 2 používa staršie Cryptography API 1 CAPI 1 SHA-1 a CAPI 1allows DigestInfo chýba.
  • CAPI 2 používa Cryptography API ďalšej generácie (CNG) SHA-2 a CNG neumožňuje DigestInfo byť chýba.
Poznámka: Napriek tomu, že tento článok popisuje len problémy, ktoré sa vyskytujú pri certutil.exe, aplikácia, ktorá používa rozhranie CryptoAPI fungujú presne ako certutil.exe.
Ďalšie informácie

Overenie CSR, ktorý je podpísaný "1.2.840.113549.1.1.5 sha1RSA" bez DigestInfo:

PKCS10 Certificate Request: Version: 1 Subject: CN=Test User Signature Algorithm: Algorithm ObjectId: 1.2.840.113549.1.1.5 sha1RSA Algorithm Parameters: 05 00 Signature: UnusedBits=0 0000 88 fc ea 9b cb 35 17 b8 3c 4a be e1 c9 94 23 e3 00f0 71 5c 8f 81 5f 24 bd af 4b 00 ea e2 b4 08 6f 3f Signature matches Public Key Key Id Hash(rfc-sha1): b3 1c 76 1c d9 67 d2 8d 62 15 4a 1c 47 4d dd a6 65 03 9d 5d Key Id Hash(sha1): fb b1 8f 14 39 5c fb 63 81 90 56 e8 37 e1 9b bd e2 a6 79 64 CertUtil: -dump command completed successfully. 

Overenie CSR, ktorý je podpísaný "1.2.840.113549.1.1.11 sha256RSA" bez DigestInfo:

PKCS10 Certificate Request: Version: 1 Subject: CN=Test User Signature Algorithm: Algorithm ObjectId: 1.2.840.113549.1.1.11 sha256RSA Algorithm Parameters: 05 00 Signature: UnusedBits=0 0000 2c 23 b3 36 f4 10 10 94 99 02 95 8f 64 1d 71 0c 00f0 6c f4 13 ae 0e 6b b1 ef c4 1e 10 c0 1f 34 4d 16 Signature does not match Public key: c000a000 Cannot decode object: The cryptographic signature is invalid. 0xc000a000 (NT: 0xc000a000 STATUS_INVALID_SIGNATURE) CertUtil: -dump command FAILED: 0xc000a000 (NT: 0xc000a000 STATUS_INVALID_SIGNATURE) CertUtil: The cryptographic signature is invalid. 


Upozornenie: Tento článok bol preložený automaticky.

Vlastnosti

ID článku: 3080171 – Posledná kontrola: 12/03/2015 16:44:00 – Revízia: 2.0

Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Foundation, Windows Server 2012 R2 Essentials, Windows 8.1 Enterprise, Windows 8.1 Pro, Windows 8.1

  • kbsurveynew kbexpertiseadvanced kbprb kbtshoot kbmt KB3080171 KbMtsk
Pripomienky