|
|
|
|
| Компьютерный форум OSzone.net » Серверные продукты Microsoft » Windows Server 2008/2008 R2 » 2008 R2 - [решено] Смена алгоритма подписи на CA. |
|
|
2008 R2 - [решено] Смена алгоритма подписи на CA.
|
|
Старожил Сообщения: 498 |
Доброго времени суток.
Есть схема offline RootCA + online SubCA, используются для выдачи сертификатов для компонентов vSphere. Возникла проблема на этапе замены самоподписанных сертификатов подписанными от CA и после контакта с тех поддержкой и курения логов было получено вот что: "Какой алгоритм цифровой подписи для сертификатов вы используете? Проверьте, что он у вас не RSA-PSS. Если так, попробуйте использовать sha256rsa." вот что имеется в сертификате, выданном для одного из сервисов vSphere: signature algorithm RSASSA-PSS signature hash algorithm sha256 т.е. нужно сменить RSASSA-PSS на другой алгоритм, но как это сделать? в настройках шаблона этого нет, нашел только http://social.technet.microsoft.com/...serversecurity такое, но там речь идет о sah и md5, не о RSA, и то там рекомендация не использовать данный способ. Я также видел http://technet.microsoft.com/en-us/l.../hh831373.aspx, но не ясно что за "пониженная безопасность" и какой алгоритм будет использоваться после команды: certutil -setreg CA\InterfaceFlags -IF_ENFORCEENCRYPTICERTREQUEST Кто-то что-то подскажет? |
|
|
Отправлено: 06:07, 01-05-2014 |
|
Старожил Сообщения: 498
|
Профиль | Сайт | Отправить PM | Цитировать Как оказалось изменить можно значение AlternateSignatureAlgorithm в HKLM\System\CurrentControlSet\services\CertSrv\SubCA(RootCA)\CPS на 0. За 100% достоверность пути не ручаюсь, сейчас посмотреть уже не могу. Это значение соответствует SHAxxxRSA, но пришлось перестраивать всю цепочку, компоненты vSphere не поддерживают RSASSA-PSS. При чем даже указав в capolicy значение AlternateSignatureAlgorithm=0 и развернув заново роли RootCA/SubCA подписываются все сертификаты RSASSA-PSS, пришлось вручную изменять значение параметра после установки роли. Тему можно закрыть.
|
|
Отправлено: 15:38, 05-05-2014 | #2 |
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| Ccылка в подписи на Яндекс диск | silalex | Флейм | 11 | 17-03-2013 18:22 | |
| Технологический прогноз CA Technologies на 2011 г. | it-news | Новости информационных технологий | 0 | 15-12-2010 10:40 | |
| Теория - [решено] оценка сложности алгоритма | lxa85 | Программирование и базы данных | 3 | 05-10-2010 21:08 | |
| C/C++ - реализация алгоритма Дугласа Пекера MVS2008 | greyreality | Программирование и базы данных | 0 | 25-09-2010 21:34 | |
| Перенос CA с win2000 на win2003 | ant2004 | Microsoft Windows NT/2000/2003 | 1 | 14-08-2006 13:07 | |
|
|
Время: 15:03. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2024, Jelsoft Enterprises Ltd. |
