Microsoft证书颁发机构提供者兼容性

因此,我们是一家中型企业,它正在刷新我们的Microsoft PKI,并希望能够在很多方面大力利用它。 即服务器到服务器/工作站encryption,无线TLSencryption/authentication(Aruba),内部SSL Web服务,来自服务器和客户端应用程序的域控制器SLDAP等等。

我们是客户端的50/50 MAC-Windows和70/30 CentOS / Windows服务器端。

签署algorithm:RSASSA-PSS -Signature哈希algorithm:sha256

那么MAC OS X Mavericks将不会和SSL证书发挥出色,Oracle JDK 8 SSL Lib不会支持,我们需要提供一个备用库,Aruba Clearpass看起来可能有问题。 Firefox的新版本是balking。

无论如何,有没有人最近经历了这个,并有任何build议提供。 与MS打电话获取一些咨询信息,我们有一个与苹果开放的票。

打开build议。

谢谢

问题是你把CA的CAPolicy.inf文件中的AlternateSignatureAlgorithm = 1 。 此条目启用备用PKCS#1 v1.5签名格式。 Windows CryptoAPI客户端支持此格式,但大多数传统和第三方客户端可能不支持此格式。

你可以在这里做什么? 查看每个CA证书并检查哪一个使用此签名。 我怀疑所有的CA是通过使用相同的CAPolicy.inf安装的? 如果是这样,则必须通过将条目更改为AlternateSignatureAlgorithm = 0来修改CAPolicy.inf。 如果有安装后脚本,则replace(如果存在此命令)以下命令: certutil -setreg csp\alternatesignaturealgorithm 1 to certutil -setreg csp\alternatesignaturealgorithm 0

并用* new *密钥对更新所有CA证书。

参考执行CA续订: 更新authentication机构