Назад | Перейти на главную страницу

Совместимость с поставщиком центра сертификации Microsoft

Таким образом, мы - предприятие среднего размера, обновляющее нашу PKI Microsoft и стремящееся широко использовать ее в своей организации для многих целей. то есть шифрование от сервера к серверу / рабочей станции, шифрование / аутентификация беспроводного TLS (Aruba), внутренние веб-службы SSL, SLDAP контроллера домена от серверных и клиентских приложений и т. д.

У нас 50/50 MAC-Windows на стороне клиента и 70/30 CentOS / Windows на стороне сервера.

Развертывание трехуровневой PKI MS с автономным корнем с использованием поставщика программного обеспечения MS RSA: алгоритм подписи: RSASSA-PSS-алгоритм хеширования подписи: sha256

Что ж, MAC OS X Mavericks и выше не будет хорошо работать с выданными сертификатами SSL, Oracle JDK 8 SSL Lib не будет поддерживать, и нам нужно предоставить альтернативную библиотеку, Aruba Clearpass, похоже, может иметь проблемы. Тормятся новые версии firefox.

В любом случае, кто-нибудь проходил через это в последнее время и есть ли какие-либо советы. Позвонил в MS, чтобы получить некоторую консультативную информацию, и у нас открыт билет с Apple.

Открыт для рекомендаций.

Спасибо

Проблема в том, что вы ставите AlternateSignatureAlgorithm = 1 в файлах CA CAPolicy.inf. Эта запись включает альтернативный формат подписи PKCS # 1 v1.5. Этот формат поддерживается клиентами Windows CryptoAPI, однако большинство устаревших и сторонних клиентов могут не поддерживать его.

Что здесь можно делать? Посмотрите на каждый сертификат CA и проверьте, какой из них использует эту подпись. Я подозреваю, что все центры сертификации были установлены с использованием одного и того же файла CAPolicy.inf? Если это так, вам необходимо изменить CAPolicy.inf, изменив запись на AlternateSignatureAlgorithm = 0. Если есть сценарии после установки, замените (если эта команда присутствует) следующую команду: certutil -setreg csp\alternatesignaturealgorithm 1 к certutil -setreg csp\alternatesignaturealgorithm 0.

И обновите все сертификаты CA с помощью * новый * пара ключей.

ссылка на продление CA: Обновление центра сертификации