因此,我们是一家中型企业,正在更新我们的 Microsoft PKI,并希望在整个组织中充分利用它来做很多事情。例如服务器到服务器/工作站加密、无线 TLS 加密/身份验证(Aruba)、内部 SSL Web 服务、来自服务器和客户端应用程序的域控制器 SLDAP 等......
客户端方面,MAC-Windows 的比例为 50/50,服务器方面,CentOS/Windows 的比例为 70/30。
使用 MS RSA 软件提供商部署具有脱机根的 3 层 MS PKI:签名算法:RSASSA-PSS - 签名哈希算法:sha256
嗯,MAC OS X Mavericks 及更高版本无法与颁发的 SSL 证书很好地兼容,Oracle JDK 8 SSL Lib 不支持,我们需要提供备用库,Aruba Clearpass 看起来可能有问题。新版本的 Firefox 正在犹豫。
无论如何,最近有人遇到过这种情况吗?有什么建议可以提供吗?打电话给 MS 以获取一些咨询信息,我们已向 Apple 开具了一张票。
接受建议。
谢谢
答案1
问题在于您输入AlternateSignatureAlgorithm = 1
了 CA 的 CAPolicy.inf 文件。此项启用了备用 PKCS#1 v2.1 签名格式。Windows CryptoAPI 客户端支持此格式,但大多数旧版和第三方客户端可能不支持此格式。
您在这里可以做什么?查看每个 CA 证书并检查哪个证书使用此签名。我怀疑所有 CA 都是使用相同的 CAPolicy.inf 安装的?如果是这样,您必须通过将条目更改为 来修改 CAPolicy.inf AlternateSignatureAlgorithm = 0
。如果有安装后脚本,则将以下命令替换(如果此命令存在):certutil -setreg csp\alternatesignaturealgorithm 1
到certutil -setreg csp\alternatesignaturealgorithm 0
。
并使用以下方式更新所有 CA 证书*新的*密钥对。
执行CA更新的参考:续订证书颁发机构