Назад | Перейти на главную страницу

W2012 R2 AD Certificate Services алгоритм sha

Итак, вскоре после настройки автономного корневого ЦС и подключенного к Интернету AD subordiante CA с SHA512 для проверки в будущем. Мы обнаружили, что поставщик тонких клиентов (нулевой клиент teradici с View 6) поддерживает только SHA1 и SHA256.

Я не могу найти ЛЮБОЙ способ настроить шаблон для использования SHA256 с любым из CSP. Я пробовал "certutil -setreg ca \ csp \ CNGHashAlgorithm 256", однако это делает недействительной подпись для каждого нового сгенерированного сертификата.

Есть ли у кого-нибудь кроме переделки всей PKI какие-либо идеи или пути, которыми я могу следовать?

Спасибо.

Я бы не сказал redoing, но вы не можете изменить существующие сертификаты, потому что они имеют цифровую подпись, и любое изменение нарушит цифровую подпись. Они останутся SHA512. Смирись с этим.

В вашем случае вам необходимо перевыпустить и заменить проблемные сертификаты.

edit1: алгоритм подписи является общесерверным. Вы не можете назначить алгоритм подписи на основе шаблона или чего-то еще.

p.s. в шаблонах сертификатов версии 3 (и 4) на вкладке «Криптография» вы можете найти настройку алгоритма подписи. Не путайте, этот параметр указывает только алгоритм подписи для подписи запроса. Сертификат будет подписан по алгоритму, указанному в настройках центра сертификации.