Configure uma CA corporativa para o Windows 2012. Ao gerar a CA raiz inicial, o SHA512 foi selecionado. Isso provou causar problemas com o TLS 1.2 que desconhecíamos.
Estou tentando gerar uma nova CA autoassinada que não seja SHA512. As únicas opções e instruções que posso encontrar são para renovar a AC existente que não altera o tipo de certificado.
Existe um processo para fazer isso ou o CA Services precisa ser removido e reinstalado para gerar uma nova autoridade de certificação?
Na verdade, você não precisa remover a função de autoridade de certificação ou começar de novo. Você pode simplesmente renovar o certificado da CA com o novo par de chaves. Antes deste procedimento, você precisa fazer as seguintes alterações no servidor da CA:
certutil -setreg ca\csp\cnghashalgorithm sha256
net stop certsvc && net start certsvc
e renove o certificado da CA. Durante o prompt, selecione para gerar um novo par de chaves.