我有一个用于离线证书请求的 CA 策略 inf 文件:
[Version]
Signature="$Windows NT$"
[PolicyStatementExtension]
Policies=InternalPolicy
[InternalPolicy]
OID=1.2.3.4.1455.67.89.5
Notice="Legal Policy Statement"
URL=https://pki.corp.contoso.com/pki/cps.txt
[Certsrv_Server]
RenewalKeyLength=2048
RenewalValidityPeriod=Years
RenewalValidityPeriodUnits=5
CRLPeriod=weeks
CRLPeriodUnits=1
LoadDefaultTemplates=0
AlternateSignatureAlgorithm=1
[CRLDistributionPoint]
[AuthorityInformationAccess]
证书申请成功。但证书使用的是旧算法:
Signature algorithm: sha1RSA
Signature hash algorithm: sha1
如何将策略文件更新为 SHA-256?
答案1
这是在签署您的请求的上级 CA 中配置的 - 而不是在请求本身中。
答案2
我不认为有办法传达这种愿望“我希望使用 SHA256 而不是 SHA1 进行哈希处理!”在请求本身中。(而且我对那里的 INF 文件方法一无所知。)
相反,您只需将整个 Microsoft CA(ADCS)配置为使用 SHA256。
详情请见此处:https://blogs.technet.microsoft.com/pki/2013/09/19/upgrade-certification-authority-to-sha256/
要点是在 ADCS 服务器上运行它:
certutil -setreg ca\csp\CNGHashAlgorithm SHA256
net stop certsvc
net start certsvc