Nastavení podpisových algoritmů v certifikační autoritě ve Windows je poněkud matoucí. Trošku to prozkoumejme. Jediné místo, kde vůbec vybíráte jakou heš chcete používat je při instalaci. Následující obrázek ukazuje, že jsem si vybral SHA-2.
Co to ale znamená? V tomto okamžiku ve skutečnosti vybíráte dvě věci. Za první to je podpisový algoritmus pro certifikát této kořenové CA. Za druhé to je také algoritmus, kterým tato autorita bude v budoucnu podepisovat všechny vydané certifikáty.
Algoritmus, který autorita používá k podepisování po instalaci je možno zjistit ve vlastnostech autority:
Nešlo by to později změnit? Samozřejmě už nikdy nezměníte algoritmus, jímž je podepsán certikát autority samotné. To co ale změnit můžete je algoritmus, kterým se podepisují vydané certifikáty.
Změna podpisového algoritmu
Proč byste to vůbec dělali? Protože se chcete například vrátit k vydávání SHA-1 certifikátů a nechcete na to přeinstalovávat autoritu. Důvodem může být nekompatibilita na straně klienta. Od Windows XP SP3 už všichni většinou umí ověřovat platnost novějších SHA-2 certifikátů, ale některé aplikace mohou mít problém je potom použít.
Takže vám mnohdy pomůže prostě jen změnit podpisový algoritmus v registrech a autorita ho začne používat pro vydané certifikáty.
Přepnutí na SHA-1 se provede v registrech takto
HKLM\System\CurrentControlSet\Services\CertSvc\Configuration\[jmeno autority]\CSP
CNGHashAlgorithm = DWORD = SHA1
A už musíte autoritu jen restartovat.