我对ADCS非常陌生,将我们旧的Tire-2 PKI迁移到SHA-256也是一个挑战。 正如我们build议设置一个并行的SHA-2 CA,我没有问任何想法,如何继续,我可以用SHA-2创build一个脱机的根CA,但是如何发布到我目前的环境还有,如何在某个时候停止使用SHA-1证书。 尝试search博客和文章,我正在寻找任何一步一步的文件,没有find任何合适的,任何build议,将不胜感激。
谢谢
我可以使用SHA-2创build一个脱机的根CA,但是如何将其发布到我当前的环境。
与您最初发布旧证书的方式大致相同。 您可以使用组策略发布它,或将其发布到AD( certutil -dspublish )。 大多数关于发布的方向都遵循与新CA相同的方向。
另外,如何在某个时候停止使用SHA-1证书。
您首先转到现有的CA,然后修改现有模板并调整这些模板的安全性,以防止这些模板获得新的证书。 然后,您可以简单地等待大多数现有证书过期,或者如果您需要更早离开,您可以将它们从任何系统中删除。