Итак, вскоре после настройки автономного корневого ЦС и подключенного к Интернету AD subordiante CA с SHA512 для проверки в будущем. Мы обнаружили, что поставщик тонких клиентов (нулевой клиент teradici с View 6) поддерживает только SHA1 и SHA256.
Я не могу найти ЛЮБОЙ способ настроить шаблон для использования SHA256 с любым из CSP. Я пробовал "certutil -setreg ca \ csp \ CNGHashAlgorithm 256", однако это делает недействительной подпись для каждого нового сгенерированного сертификата.
Есть ли у кого-нибудь кроме переделки всей PKI какие-либо идеи или пути, которыми я могу следовать?
Спасибо.
Я бы не сказал redoing
, но вы не можете изменить существующие сертификаты, потому что они имеют цифровую подпись, и любое изменение нарушит цифровую подпись. Они останутся SHA512. Смирись с этим.
В вашем случае вам необходимо перевыпустить и заменить проблемные сертификаты.
edit1: алгоритм подписи является общесерверным. Вы не можете назначить алгоритм подписи на основе шаблона или чего-то еще.
p.s. в шаблонах сертификатов версии 3 (и 4) на вкладке «Криптография» вы можете найти настройку алгоритма подписи. Не путайте, этот параметр указывает только алгоритм подписи для подписи запроса. Сертификат будет подписан по алгоритму, указанному в настройках центра сертификации.