Все проблемы начались, когда Mircosoft обновила систему безопасности, потребовав минимальную длину ключа 1024. Пожалуйста, обратитесь к Microsoft Security Advisory (2661254). Раньше мы использовали шаблон «Вход со смарт-картой», встроенный в Server 2008 R2. Это создало сертификат с открытым ключом на 512 бит и использовал алгоритм подписи «sha1RSA».
Поскольку изменить размер ключа в шаблоне невозможно, мы продублировали шаблон входа в Smardcard и изменили его, чтобы использовать 2048-битный ключ. Когда мы повторно выдавали сертификаты на наши смарт-карты, они создавали сертификаты с использованием алгоритма подписи «RSASSA-PSS». Эти карты отлично работают в Vista, 7 и 2008, но не работают в WinXP.
Не могли бы вы подробно описать, какие именно шаги необходимо выполнить, чтобы создать шаблон, который можно использовать для выпуска карт с как минимум 1024-битными открытыми ключами, которые будут работать в XP.
Windows XP не поддерживает алгоритм RSASSA-PSS.
Следующее должно решить проблему. В шаблоне «Вход со смарт-картой» перейдите на вкладку «Совместимость» и установите в поле «Получатель сертификата» значение «Windows XP / Server 2003». Я не могу это проверить, но это должно сработать.
К сожалению, я думаю, что в Server 2012 есть только вкладка «Совместимость». Я все еще придерживаюсь 2008 года.
Кто-нибудь знает, как изменить алгоритм подписи, созданный шаблоном входа на смарт-карту?