所以在用SHA512configuration一个离线的根CA和在线的AD subordiante CA之后不久就可以进行validation了。 我们发现一个瘦客户端供应商(Teradici零客户端与视图6)只支持SHA1和SHA256。
我无法find任何方式configuration模板以使用SHA256与任何CSP。 我尝试了“certutil -setreg ca \ csp \ CNGHashAlgorithm 256”,但是这会使生成的每个新证书的签名无效。
除了重做整个PKI之外,有没有人有任何想法或path可以追求?
谢谢。
我不会说redoing ,但是您不能更改现有的证书,因为它们是数字签名的,任何更改都会破坏数字签名。 他们将保持SHA512。 处理它。
在你的情况下,你需要重新签发和replace有问题的证书。
编辑1:签名algorithm是服务器范围的。 您不能在模板基础上指定签名algorithm或其他内容。
ps在“encryption”选项卡中的版本3(和4)证书模板中,可以find签名algorithm设置。 不要混淆,这个设置只指定签名algorithm来签名请求。 证书将使用CA设置中指定的algorithm进行签名。