マイクロソフト認証局プロバイダーの互換性
そのため、私たちはMicrosoft PKIを刷新し、多くのことで組織全体でそれを大いに活用しようとしている中規模の企業です。つまり、サーバー間/ワークステーション暗号化、ワイヤレスTLS暗号化/認証(Aruba)、内部SSL Webサービス、サーバーおよびクライアントアプリからのドメインコントローラーSLDAPなど...
私たちはクライアント側で50/50MAC-Windowsであり、70/30 CentOS/Windowsサーバー側です。
MS RSAソフトウェアプロバイダーを使用したオフラインルートでの3層MSPKIの展開:署名アルゴリズム:RSASSA-PSS-署名ハッシュアルゴリズム:sha256
MAC OS X Mavericks以降は発行されたSSL証明書でうまく機能しません。OracleJDK8SSLLibはサポートされないため、代替ライブラリを提供する必要があります。ArubaClearpassには問題がある可能性があります。 Firefoxの新しいバージョンは吠えています。
とにかく、誰かが最近これを経験し、提供するアドバイスがありますか? MSに電話してアドバイス情報を入手すると、Appleでチケットを開くことができます。
推奨事項を開きます。
ありがとう
問題は、CAのCAPolicy.infファイルにAlternateSignatureAlgorithm = 1を入れることです。このエントリにより、代替のPKCS#1v1.5署名形式が有効になります。この形式はWindowsCryptoAPIクライアントでサポートされていますが、ほとんどのレガシークライアントおよびサードパーティクライアントはこれをサポートしていない可能性があります。
ここで何ができますか?各CA証明書を見て、どれがこの署名を使用しているかを調べます。すべてのCAが同じCAPolicy.infを使用してインストールされたのではないかと思います。その場合は、エントリをAlternateSignatureAlgorithm = 0に変更してCAPolicy.infを変更する必要があります。インストール後のスクリプトがある場合は、(このコマンドが存在する場合)次のコマンドを置き換えます:certutil -setreg csp\alternatesignaturealgorithm 1からcertutil -setreg csp\alternatesignaturealgorithm 0。
そして、すべてのCA証明書を* new *キーペアで更新します。
cAの更新を実行するための参照: 認証局の更新