Windows XP SP3 SHA256/512withRSAのルート証明書の対応
初版: 2008.05.08
改定: 2008.06.01
最近、SHA1アルゴリズムの危殆化に関する議論がいろいろなところで行われているんですが、
移行しようにもWindows XP SP2 のCryptoAPIはSHA2を扱えなかったので、
例えばSHA256withRSAやSHA512withRSAで署名された証明書を使うことができませんでした。
Java はとっくにできていたのに、、、、
というわけで、ようやく2008年5月7日、日本国内でも
Windows XP SP3をダウンロード可能になったことを記念して
SHA{256,512}withRSAの証明書調査ぁ~~~~っ、、、パチパチ
SP2でルート証明書をインポートしようとしても、
信頼するルートに入れることはできません。
表示しようにも以下のようになってしまいます。
#ref error :画像を取得できませんでした。しばらく時間を置いてから再度お試しください。
#ref error :画像を取得できませんでした。しばらく時間を置いてから再度お試しください。
みたいな感じで、正しく扱われていないことがわかります。
SHA256withRSAのオブジェクト識別子もそのまま1.2.840.113549.1.1.11と
表示されてしまっています。
#ref error :画像を取得できませんでした。しばらく時間を置いてから再度お試しください。
#ref error :画像を取得できませんでした。しばらく時間を置いてから再度お試しください。
まだ、インポート前です。信頼されていません。でも、ちゃんとsha256RSAとアルゴリズム名は
表示されています。
さて、これをインポートしてみます。
#ref error :画像を取得できませんでした。しばらく時間を置いてから再度お試しください。
#ref error :画像を取得できませんでした。しばらく時間を置いてから再度お試しください。
というわけで無事、SHA256withRSAの証明書を信頼するルートとして
インポートすることができました、、、、ぱちぱちぱち
SHA512withRSAの証明書についても同様に問題なくルートストアに入れることができました。
SHA256withRSAの証明書のサンプル
-----BEGIN CERTIFICATE-----
MIIDITCCAgmgAwIBAgIFEBAABQAwDQYJKoZIhvcNAQELBQAwMDELMAkGA1UEBhMC
SlAxITAfBgNVBAoTGDAwLUVDT00tVEVTVC1ST09ULVNIQTI1NjAeFw0wMTAxMDEw
MDAwMDBaFw0zNTEyMzEyMzU5NTlaMDAxCzAJBgNVBAYTAkpQMSEwHwYDVQQKExgw
MC1FQ09NLVRFU1QtUk9PVC1TSEEyNTYwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAw
ggEKAoIBAQDLJTdniqnI/Iso6Zfcha3MvuBG6sbO2qJq6lShi9BcV0h9O3fkZyTC
C55JBtijtwEcBZHI2U/jlaB3f7A2BRVwMF6XKxUBizCL5eh81xXrYAJwpsevspff
MRBQchuWqa8mgxB5HMbq1VlWD4sqwZvlmi0C9p3fcGIbIEr/qf3uRv5WCgLtOK9C
W++WJKzrAkoKBK6qH/fKeAJrFjJY0yiqkF+yS9XhdH0vFcdsNs93gdxmLFhlsQfc
AupImonLFO0CQZei/QTWvdeyPqNJwYyRC14JZ+XIlhdEc4z1B8mJLdpnC01yFnlq
GRaNcxCgmHt0vmGk3HQTFWazWe5rPMzfAgMBAAGjQjBAMA8GA1UdEwEB/wQFMAMB
Af8wDgYDVR0PAQH/BAQDAgEGMB0GA1UdDgQWBBTPGL/aIt5IQ+Hof6OvD5QB5VkV
BDANBgkqhkiG9w0BAQsFAAOCAQEAdXF55uWDQFKzD+peXwQU9VS608OKDgkrsytj
TtAsgXt3VdPnhfp/RFLj0talEVr+6x5wdVQOKjK2JrZMCs2SzjOmLf+kdyFRYwuR
FDuPkh/JkwMo4a8PcUs+Jcl9mpb1ax4EWD0daG2Y+Hsx21V1T3H/Qzw+HwhaeGQs
1+/m9agEkaSKwfXTMbHR8SPvDwAwguR+ixSquScF69BowDeicXLJCxyMiP8Y2GVi
A8qeOFE/mN2Pywm50YYFGcGDvMTCDCYaRC6LEmTfarW+lcfjPNgHIidCsbOb0Mr4
p6eEMGcgY1vv7BfokOlkqhdXvG719p/hn5DiWdp7LmBYsnlJYQ==
-----END CERTIFICATE-----
拇印(SHA1): 5e 21 02 6d 1e 26 a1 80 9b 68 ba 7e c3 8b a0 b1 05 f6 c6 d2
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
10:10:00:05:00
Signature Algorithm: sha256WithRSAEncryption
Issuer: C=JP, O=00-ECOM-TEST-ROOT-SHA256
Validity
Not Before: Jan 1 00:00:00 2001 GMT
Not After : Dec 31 23:59:59 2035 GMT
Subject: C=JP, O=00-ECOM-TEST-ROOT-SHA256
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public Key: (2048 bit)
Modulus (2048 bit):
00:cb:25:37:67:8a:a9:c8:fc:8b:28:e9:97:dc:85:
...以下略...
cc:df
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Basic Constraints: critical
CA:TRUE
X509v3 Key Usage: critical
Certificate Sign, CRL Sign
X509v3 Subject Key Identifier:
CF:18:BF:DA:22:DE:48:43:E1:E8:7F:A3:AF:0F:94:01:E5:59:15:04
Signature Algorithm: sha256WithRSAEncryption
75:71:79:e6:e5:83:40:52:b3:0f:ea:5e:5f:04:14:f5:54:ba:
...以下略...
b2:79:49:61
SHA512withRSAの証明書のサンプル
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
拇印(SHA1): 67 ce 35 87 e3 64 eb d3 e4 8b 99 ef 13 e5 2a 1d db 69 dd c0
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
10:10:00:07:00
Signature Algorithm: sha512WithRSAEncryption
Issuer: C=JP, O=00-ECOM-TEST-ROOT-SHA512
Validity
Not Before: Jan 1 00:00:00 2001 GMT
Not After : Dec 31 23:59:59 2035 GMT
Subject: C=JP, O=00-ECOM-TEST-ROOT-SHA512
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public Key: (2048 bit)
Modulus (2048 bit):
00:b4:98:68:d0:4a:5a:ea:9b:54:9f:0e:ec:a4:f1:
...以下略...
7d:b7
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Basic Constraints: critical
CA:TRUE
X509v3 Key Usage: critical
Certificate Sign, CRL Sign
X509v3 Subject Key Identifier:
15:D6:1A:70:BF:92:33:FD:98:94:E6:0F:0B:D8:14:8A:1E:81:1E:BA
Signature Algorithm: sha512WithRSAEncryption
aa:4c:90:12:68:2e:ba:fd:a4:e3:98:dd:bf:f9:b0:c3:0b:cc:
...以下略...
61:52:9c:b3
サンプルの使い方
BEGIN~ENDの行を全てコピーして、メモ帳などにペーストして、それぞれ "sha256.cer" 、"sha512.cer" など
拡張子 ".cer" のファイル名で保存してください。
ダブルクリックで開けば、証明書を見ることができ、SP3ならインポートも可能です。
テストが終わったら、変なサイトを信頼してしまわないよう「信頼されるルート認証機関」から
- 00-ECOM-TEST-ROOT-SHA256
- 00-ECOM-TEST-ROOT-SHA512
の証明書を削除しておいてください。
最終更新:2008年06月01日 21:13