W2012 R2 AD сертификат Службы ша алгоритм

Question

W2012 R2 AD сертификат Службы ша алгоритм

Итак, вскоре после настройки автономного корневого ЦС и оперативного подчиненного ЦА AD с SHA512 для дальнейшей проверки. Мы обнаружили, что продавец тонких клиентов (терадический нулевой клиент с View 6) поддерживает только SHA1 и SHA256.

Я не могу найти ЛЮБОЙ способ настроить шаблон для использования SHA256 с любым из CSP. Я попытался "certutil -setreg ca\csp\CNGHashAlgorithm 256", однако это делает недействительной подпись для каждого нового сгенерированного сертификата.

Кроме повторения всей PKI, есть ли у кого-нибудь какие-либо идеи или пути, которые я могу найти?

Благодарю.

2

active-directory ssl certificate-authority hash

Источник

Graham 29 янв '15 в 18:38

1 ответ

Другие вопросы по тегам active-directory ssl certificate-authority hash

Crypt32 29 янв '15 в 19:46 2015-01-29 19:46 · Answer 1 · 2015-01-29 19:46

Я бы не сказал redoing, но вы не можете изменить существующие сертификаты, потому что они имеют цифровую подпись и любое изменение нарушит цифровую подпись. Они останутся SHA512. Смирись с этим.

В вашем случае вам необходимо переиздать и заменить проблемные сертификаты.

edit1: алгоритм подписи для всего сервера. Вы не можете назначить алгоритм подписи на основе шаблона или что-то еще.

PS в шаблонах сертификатов версии 3 (и 4) на вкладке Криптография, вы можете найти настройку алгоритма подписи. Не путайте, этот параметр определяет только алгоритм подписи для подписи запроса. Сертификат будет подписан по алгоритму, указанному в настройках CA.