Проблема с минимальной длиной ключа сертификата и WinXP
Проблема началась, когда Mircosoft обновил систему безопасности, требуя минимальную длину ключа 1024. Пожалуйста, обратитесь к Microsoft Security Advisory (2661254). В прошлом мы использовали шаблон "Вход в систему с помощью смарт-карты", который встроен в Server 2008 R2. Это создало сертификат с 512-битным открытым ключом и использовало алгоритм подписи "sha1RSA".
Поскольку изменить размер ключа в шаблоне невозможно, мы продублировали шаблон входа в систему Smardcard и изменили его, чтобы использовать 2048 -битный ключ. Когда мы повторно выдавали сертификаты на наших смарт-картах, они создавали сертификаты с использованием алгоритма подписи "RSASSA-PSS". Эти карты отлично работают в Vista, 7 и 2008, но не работают в WinXP.
Не могли бы вы подробно описать, какие именно шаги необходимо выполнить, чтобы создать шаблон, который можно использовать для выпуска карт с как минимум 1024-битными открытыми ключами, которые будут работать под XP.
2 ответа
Windows XP не поддерживает алгоритм RSASSA-PSS.
Следующее должно решить проблему. В шаблоне "Вход со смарт-картой" перейдите на вкладку "Совместимость" и установите для поля "Получатель сертификата" значение "Windows XP / Server 2003". Я не могу проверить это, но это должно работать.
К сожалению, я думаю, что в Server 2012 есть только вкладка "Совместимость". Я все еще застрял в 2008 году.
Кто-нибудь знает, как изменить алгоритм подписи, созданный шаблоном входа в систему Smartcard?