Eu não diria redoing , mas você não pode alterar os certificados existentes, porque eles são assinados digitalmente e qualquer alteração quebrará a assinatura digital. Eles permanecerão SHA512. Lide com isso.
No seu caso, você precisa reemitir e substituir os certificados problemáticos.
edit1: o algoritmo de assinatura é todo o servidor. Você não pode designar o algoritmo de assinatura na base do modelo ou qualquer outra coisa.
p.s. Na versão 3 (e 4) modelos de certificado na guia Criptografia, você pode encontrar uma configuração de algoritmo de assinatura. Não fique confuso, essa configuração especifica apenas o algoritmo de assinatura para assinar a solicitação. O certificado será assinado com o algoritmo especificado nas configurações de CA.