Microsoft 证书颁发机构提供商兼容性

Microsoft 证书颁发机构提供商兼容性

因此,我们是一家中型企业,正在更新我们的 Microsoft PKI,并希望在整个组织中充分利用它来做很多事情。例如服务器到服务器/工作站加密、无线 TLS 加密/身份验证(Aruba)、内部 SSL Web 服务、来自服务器和客户端应用程序的域控制器 SLDAP 等......

客户端方面,MAC-Windows 的比例为 50/50,服务器方面,CentOS/Windows 的比例为 70/30。

使用 MS RSA 软件提供商部署具有脱机根的 3 层 MS PKI:签名算法:RSASSA-PSS - 签名哈希算法:sha256

嗯,MAC OS X Mavericks 及更高版本无法与颁发的 SSL 证书很好地兼容,Oracle JDK 8 SSL Lib 不支持,我们需要提供备用库,Aruba Clearpass 看起来可能有问题。新版本的 Firefox 正在犹豫。

无论如何,最近有人遇到过这种情况吗?有什么建议可以提供吗?打电话给 MS 以获取一些咨询信息,我们已向 Apple 开具了一张票。

接受建议。

谢谢

答案1

问题在于您输入AlternateSignatureAlgorithm = 1了 CA 的 CAPolicy.inf 文件。此项启用了备用 PKCS#1 v2.1 签名格式。Windows CryptoAPI 客户端支持此格式,但大多数旧版和第三方客户端可能不支持此格式。

您在这里可以做什么?查看每个 CA 证书并检查哪个证书使用此签名。我怀疑所有 CA 都是使用相同的 CAPolicy.inf 安装的?如果是这样,您必须通过将条目更改为 来修改 CAPolicy.inf AlternateSignatureAlgorithm = 0。如果有安装后脚本,则将以下命令替换(如果此命令存在):certutil -setreg csp\alternatesignaturealgorithm 1certutil -setreg csp\alternatesignaturealgorithm 0

并使用以下方式更新所有 CA 证书*新的*密钥对。

执行CA更新的参考:续订证书颁发机构

相关内容