为 Windows 2012 设置企业 CA。生成初始根 CA 时,选择了 SHA512。事实证明,这会导致我们未意识到的 TLS 1.2 问题。
我正在尝试生成一个非 SHA512 的新自签名 CA。我能找到的唯一选项和说明是更新现有 CA,这不会更改证书类型。
是否有执行此操作的流程,或者是否必须删除并重新安装 CA 服务才能生成新的 CA?
答案1
实际上,您不需要删除 CA 角色或重新开始。您只需使用新密钥对更新 CA 证书即可。在此过程之前,您需要在 CA 服务器上进行以下更改:
certutil -setreg ca\csp\cnghashalgorithm sha256
net stop certsvc && net start certsvc
并更新 CA 证书。在提示中选择生成新的密钥对。