为 Windows 2012 CA 生成新的自签名 CA

为 Windows 2012 CA 生成新的自签名 CA

为 Windows 2012 设置企业 CA。生成初始根 CA 时,选择了 SHA512。事实证明,这会导致我们未意识到的 TLS 1.2 问题。

我正在尝试生成一个非 SHA512 的新自签名 CA。我能找到的唯一选项和说明是更新现有 CA,这不会更改证书类型。

是否有执行此操作的流程,或者是否必须删除并重新安装 CA 服务才能生成新的 CA?

答案1

实际上,您不需要删除 CA 角色或重新开始。您只需使用新密钥对更新 CA 证书即可。在此过程之前,您需要在 CA 服务器上进行以下更改:

certutil -setreg ca\csp\cnghashalgorithm sha256
net stop certsvc && net start certsvc

并更新 CA 证书。在提示中选择生成新的密钥对。

相关内容