blog.andreas-schreiner.de

Wissen ist Macht. Nichts wissen macht nichts.

SHA-1 Zertifikat auf SHA-256 CA ausstellen

von · Veröffentlicht · Aktualisiert

Aktuelle CA Server sollten heute mindestens den SHA-256 Algorithmus zur Signierung von Zertifikaten verwenden und dementsprechend konfiguriert sein. Dennoch kann es vorkommen, dass für Legacy Anwendungen SHA-1 signierte Zertifikate benötigt werden. Standardmäßig kann eine SHA-256 CA keine SHA-1 Zertifikate mehr ausstellen. Um hier Abhilfe zu schaffen, kann die CA temporär auf SHA-1 zurückgestellt werden.

Hierzu ist folgender Registry Key zu setzen:

REG add "HKLM\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\<CA-Name>\CSP" /v CNGHashAlgorithm /t REG_SZ /d SHA1

Anschließend benötigt die CA einen Neustart der Active Directory Certificate Services:

net stop certsrv && net start certsrv

Nach der Ausstellung des SHA-1 Zertifikats kann die CA wieder auf SHA-256 zurückgestellt werden:

REG add "HKLM\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\<CA-Name>\CSP" /v CNGHashAlgorithm /t REG_SZ /d SHA256

Auch hier natürlich: Active Directory Certificate Services neu starten.

Achtung! Während der o.g. Registry Key auf SHA1 steht, werden ALLE Zertifikate mit SHA-1 ausgestellt! Daher ist die Lösung nur temporär und „OnDemand“ zu nutzen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.