SHA-1 Zertifikat auf SHA-256 CA ausstellen
Aktuelle CA Server sollten heute mindestens den SHA-256 Algorithmus zur Signierung von Zertifikaten verwenden und dementsprechend konfiguriert sein. Dennoch kann es vorkommen, dass für Legacy Anwendungen SHA-1 signierte Zertifikate benötigt werden. Standardmäßig kann eine SHA-256 CA keine SHA-1 Zertifikate mehr ausstellen. Um hier Abhilfe zu schaffen, kann die CA temporär auf SHA-1 zurückgestellt werden.
Hierzu ist folgender Registry Key zu setzen:
REG add "HKLM\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\<CA-Name>\CSP" /v CNGHashAlgorithm /t REG_SZ /d SHA1
Anschließend benötigt die CA einen Neustart der Active Directory Certificate Services:
net stop certsrv && net start certsrv
Nach der Ausstellung des SHA-1 Zertifikats kann die CA wieder auf SHA-256 zurückgestellt werden:
REG add "HKLM\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\<CA-Name>\CSP" /v CNGHashAlgorithm /t REG_SZ /d SHA256
Auch hier natürlich: Active Directory Certificate Services neu starten.
Achtung! Während der o.g. Registry Key auf SHA1 steht, werden ALLE Zertifikate mit SHA-1 ausgestellt! Daher ist die Lösung nur temporär und „OnDemand“ zu nutzen.