1.檢查sha1還是256
certutil -v -getreg CA\CSP\HashAlgorithm
2.檢查CA使用的提供程序是CSP還是KSP,如果不是KSP,需要先將其遷移到KSP才可以支持sha256
certutil -store my CA-ServerName
“Provider = Microsoft Strong Cryptographic Provider”表示為CSP
3.升級:
certutil -setreg CA\CSP\CNGHashAlgorithm SHA256
net stop certsvc
net start certsvc
4.檢查是否升級到sha256,打開證書頒發機構,查看CA服務器屬性:
此時根CA算法還是sha1,將其升級到sha256
續訂CA證書,如下:
升級完成后自動重啟ca服務,然后查看根CA證書,已經升級到sha256
Technet說明:對於已經頒發的證書,如果證書仍在有效期之內,是可以繼續正常使用的。在證書到期之后,因為我們已經將CA的根證書升級到了SHA-2算法,因此只需要更新證書即可,更新后的證書會默認使用SHA-2加密算法。