我对 ADCS 还很陌生,在将旧的 Tire-2 PKI 迁移到 SHA-256 时遇到了挑战。我们被建议设置一个并行的 SHA-2 CA,我不知道该怎么做,我可以用 SHA-2 创建离线根 CA,但如何将其发布到我当前的环境中,以及如何在一段时间后停止使用 SHA-1 证书。尝试搜索博客和文章,我正在寻找任何分步文档,但没有找到合适的文档,任何建议都将不胜感激。
谢谢
答案1
我可以使用 SHA-2 创建离线根 CA,但如何将其发布到我当前的环境。
与您最初发布旧证书的方式几乎相同。您可以使用组策略发布它,也可以将其发布到 AD ( certutil -dspublish
)。大多数有关发布的说明将遵循您对新 CA 遵循的相同说明。
此外如何在一段时间后停止使用 SHA-1 证书。
首先,您可以访问现有的 CA,修改现有模板并调整这些模板的安全性,以防止为这些模板颁发新证书。然后,您只需等待大多数现有证书过期即可,或者,如果您需要它们尽快消失,您可以编写脚本,从它们所在的任何系统中删除它们。