PKCS#1 Version 2.1 für ausgestellte Zertifikate und Sperrlisten einer Zertifizierungsstelle konfigurieren

Mitunter kann es erforderlich sein, den Signaturalgorithmus einer bereits installierten Zertifizierungsstelle nachträglich zu ändern.

Die Änderung des Signaturalgorithmus wird sich nur auf ab Zeitpunkt der Umstellung ausgestellte Zertifikate und Sperrlisten auswirken. Bereits ausgestellte Zertifikate und das eigene Zertifizierungsstellen-Zertifikat werden nicht verändert. Sie müssten neu ausgestellt werden, um den Signaturalgorithmus zu ändern.

Aktuelle Einstellung ermitteln

Mit folgendem Kommandozeilenbefehl kann man sich die aktuelle Konfiguration der Zertifizierungsstelle anzeigen lassen:

certutil -getreg CA\CSP\AlternateSignatureAlgorithm

PKCS#1 Version 1.5 wird verwendet, wenn der Wert AlternateSignatureALgorithm entweder nicht vorhanden oder auf "0" gesetzt ist.

PKCS#1 Version 2.1 wird verwendet, wenn der Wert AlternateSignatureAlgorithm auf "1" gesetzt ist.

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.

PKCS#1 Version 2.1 für die Zertifizierungsstelle konfigurieren

Mit folgendem Kommandozeilenbefehl kann der Signaturalgorithmus einer Zertifizierungsstelle auf PKCS#1 Version 2.1 eingestellt werden:

certutil -setreg CA\CSP\AlternateSignatureAlgorithm 1

Anschließend muss der Zertifizierungsstellen-Dienst neu gestartet werden, damit die Zertifizierungsstelle die Änderung annimmt.

PKCS#1 Version 1.5 für die Zertifizierungsstelle konfigurieren

Auch der umgekehrte Weg ist möglich: Ist die Zertifizierungsstelle auf PKCS#1 Version 2.1 konfiguriert, und man möchte auf Version 1.5 wechseln, kann dies mit folgendem Kommandozeilenbefehl erreicht werden:

certutil -delreg CA\CSP\AlternateSignatureAlgorithm

Weiterführende Links:

• PKCS#1 Version 2.1 für eine Stammzertifizierungsstelle (Root CA) einsetzen (eigenes und ausgestellte Zertifikate)
• Grundlagen: Schlüsselalgorithmen, Signaturalgorithmen und Signaturhashalgorithmen