因此,在配置离线根 CA 和在线 AD 从属 CA 并使用 SHA512 以备将来使用后不久,我们发现瘦客户端供应商(带有 View 6 的 teradici 零客户端)仅支持 SHA1 和 SHA256。
我找不到任何方法配置模板以使用 SHA256 和任何 CSP。我尝试了“certutil -setreg ca\csp\CNGHashAlgorithm 256”,但这会使生成的每个新证书的签名无效。
除了重新做整个 PKI 之外,还有人有其他想法或途径可以供我遵循吗?
谢谢。
答案1
我不会说redoing,但你不能更改现有证书,因为它们是数字签名的,任何更改都会破坏数字签名。它们将保留 SHA512。处理它。
对于您来说,您需要重新颁发并替换有问题的证书。
edit1:签名算法是服务器范围的。您不能根据模板或其他方式指定签名算法。
ps 在版本 3(和 4)证书模板的“加密”选项卡中,您可能会找到签名算法设置。不要混淆,此设置仅指定签名算法来签署请求。证书将使用 CA 设置中指定的算法进行签名。