У меня есть inf-файл политики ЦС для автономного запроса сертификата:
[Version]
Signature="$Windows NT$"
[PolicyStatementExtension]
Policies=InternalPolicy
[InternalPolicy]
OID=1.2.3.4.1455.67.89.5
Notice="Legal Policy Statement"
URL=https://pki.corp.contoso.com/pki/cps.txt
[Certsrv_Server]
RenewalKeyLength=2048
RenewalValidityPeriod=Years
RenewalValidityPeriodUnits=5
CRLPeriod=weeks
CRLPeriodUnits=1
LoadDefaultTemplates=0
AlternateSignatureAlgorithm=1
[CRLDistributionPoint]
[AuthorityInformationAccess]
Запрос сертификата выполнен успешно. Но сертификаты используют старый алгоритм:
Signature algorithm: sha1RSA
Signature hash algorithm: sha1
Как я могу обновить файл политики до SHA-256?
Я не думаю, что есть способ передать желание «Я хочу, чтобы хеширование было с помощью SHA256 вместо SHA1, пожалуйста!» в самом запросе. (И я понятия не имею об этом методе файла INF.)
Вместо этого вы просто настраиваете весь Microsoft CA (ADCS) для использования SHA256.
Подробности здесь: https://blogs.technet.microsoft.com/pki/2013/09/19/upgrade-certification-authority-to-sha256/
Суть в том, чтобы запустить это на сервере ADCS:
certutil -setreg ca\csp\CNGHashAlgorithm SHA256
net stop certsvc
net start certsvc
Это настраивается в вышестоящем CA, который подписывает ваш запрос, а не в самом запросе.