Compatibilidade com o Microsoft Certificate Provider Authority

Question

Compatibilidade com o Microsoft Certificate Provider Authority

#1 resposta do (2 votos)

3

Portanto, somos uma empresa de médio porte que está atualizando nossa PKI da Microsoft e procurando alavancá-la strongmente na organização para muitas coisas. isto é, criptografia de Servidor para Servidor / Estação de Trabalho, Criptografia / Autenticação TLS Sem Fio (Aruba), Serviços Web SSL Internos, Controlador de Domínio SLDAP de Aplicativos Servidor e Cliente, etc ...

Somos 50/50 MAC-Windows no lado do cliente e 70/30 do lado do servidor do CentOS / Windows.

Implantando uma MS PKI de 3 camadas com uma raiz offline usando o provedor de software MS RSA: Algoritmo de assinatura: RSASSA-PSS Algoritmo de hash de assinatura: sha256

Bem, o MAC OS X Mavericks e up não funcionarão bem com os certificados SSL emitidos, o Oracle JDK 8 SSL Lib não suportará e precisamos fornecer uma biblioteca alternativa, o Aruba Clearpass parece ter possíveis problemas. Novas versões do firefox estão empacadas.

De qualquer forma, alguém já passou por isso recentemente e tem algum conselho para oferecer. Ficando de plantão com MS para obter algumas informações de consultoria e temos um ticket aberto com a Apple.

Aberto para recomendações.

Obrigado

certificate-authority pki

por BIllC 17.12.2015 / 23:37

1 resposta

Tags certificate-authority pki

exportação phpMyAdmin, metade do arquivo compactado? Desabilitar o log Nginx para “proibido por regra”

score 2 · Answer 1

O problema é que você coloca AlternateSignatureAlgorithm = 1 nos arquivos CAPolicy.inf da CA. Esta entrada permite o formato de assinatura PKCS # 1 v1.5 alternativo. Esse formato é suportado por clientes Windows CryptoAPI, no entanto, a maioria dos clientes legados e de terceiros pode não suportar isso.

O que você pode fazer aqui? Examine cada certificado de CA e examine qual deles usa essa assinatura. Eu suspeito que todas as CAs foram instaladas usando o mesmo CAPolicy.inf? Em caso afirmativo, você terá que modificar CAPolicy.inf alterando a entrada para AlternateSignatureAlgorithm = 0 . Se houver scripts de pós-instalação, substitua (se este comando for apresentado) pelo seguinte comando: certutil -setreg csp\alternatesignaturealgorithm 1 to certutil -setreg csp\alternatesignaturealgorithm 0 .

E renove todos os certificados de CA com o par de chaves * new * .

referência para realizar a renovação da CA: Renovação de uma autoridade de certificação