问题始于微软更新系统安全性,要求最小密钥长度为 1024。请参阅 Microsoft 安全公告 (2661254)。过去,我们使用 Server 2008 R2 内置的“智能卡登录”模板。这会创建一个带有 512 位公钥的证书,并使用“sha1RSA”签名算法。
由于无法更改模板中的密钥大小,我们复制了 Smardcard 登录模板并将其修改为使用 2048 位密钥。当我们在智能卡上重新颁发证书时,它使用“RSASSA-PSS”签名算法创建证书。这些卡在 Vista、7 和 2008 中运行良好,但在 WinXP 中无法运行。
您能否详细概述一下创建可用于发行在 XP 下工作的具有至少 1024 位公钥的卡的具体步骤。
答案1
Windows XP 不支持 RSASSA-PSS 算法。
以下方法应该可以解决问题。在“智能卡登录”模板中,转到“兼容性”选项卡,并将“证书接收者”字段设置为“Windows XP / Server 2003”。我无法测试这一点,但它应该可以工作。
答案2
不幸的是,我认为 Server 2012 中只有一个“兼容性”选项卡。我仍然停留在 2008 中。
有人知道如何更改智能卡登录模板创建的签名算法吗?