Beste mensen,
Vandaag heb ik onze Root CA en onze beide sub CA's omgezet van hashing algoritme SHA1 naar SHA256. Daarna heb ik de certificaten van de Root en Sub's een renew gegeven. Nu bestaat er dus op elke CA een "oud" certificaat met SHA1 en een nieuwe voor SHA256. Van alle nieuwe certificaten die nu uitgegeven worden zou de hele chain dus SHA256 moeten zijn [CA -> SubCA -> Computer cert]
Als ik nu een CSR indien en de chain download op mijn PC dan is de hele certificeringspad SHA256. Als ik echter alleen het certificaat download en dan het certificeringspad bekijk dan heeft de RootCA SHA1. Ik dacht dat dit te maken had met het feit dat mijn domein computer een "oud" certificaat heeft via de oude chain. Als ik echter in de cert store kijk en daar alles verwijder en via gpupdate /force een nieuw computercertificaat opvraag dan is deze netjes SHA256. Echter blijft de CA in het certificeringspad in SHA1.
Als ik op mijn PC kijk dan staan zowel het nieuwe CA certificaat als het nieuwe subca certificaat in de store onder "Tussenliggende instanties" (sorry, nederlandse Windows). Als ik echter het CA cert aanklik staat er dat deze niet vertrouwd is. Als ik dit certificaat vervolgens handmatig toevoeg aan vertrouwde basiscertificeringsinstanties dan klopt de chain wel... Dus hij laat de chain blijkbaar zien met het oude Root CA omdat de nieuwe initieel niet vertrouwd is. Maar zou dit niet automatisch vertrouwd moeten zijn vanuit het domein?
Doe ik iets verkeerd?
Vandaag heb ik onze Root CA en onze beide sub CA's omgezet van hashing algoritme SHA1 naar SHA256. Daarna heb ik de certificaten van de Root en Sub's een renew gegeven. Nu bestaat er dus op elke CA een "oud" certificaat met SHA1 en een nieuwe voor SHA256. Van alle nieuwe certificaten die nu uitgegeven worden zou de hele chain dus SHA256 moeten zijn [CA -> SubCA -> Computer cert]
Als ik nu een CSR indien en de chain download op mijn PC dan is de hele certificeringspad SHA256. Als ik echter alleen het certificaat download en dan het certificeringspad bekijk dan heeft de RootCA SHA1. Ik dacht dat dit te maken had met het feit dat mijn domein computer een "oud" certificaat heeft via de oude chain. Als ik echter in de cert store kijk en daar alles verwijder en via gpupdate /force een nieuw computercertificaat opvraag dan is deze netjes SHA256. Echter blijft de CA in het certificeringspad in SHA1.
Als ik op mijn PC kijk dan staan zowel het nieuwe CA certificaat als het nieuwe subca certificaat in de store onder "Tussenliggende instanties" (sorry, nederlandse Windows). Als ik echter het CA cert aanklik staat er dat deze niet vertrouwd is. Als ik dit certificaat vervolgens handmatig toevoeg aan vertrouwde basiscertificeringsinstanties dan klopt de chain wel... Dus hij laat de chain blijkbaar zien met het oude Root CA omdat de nieuwe initieel niet vertrouwd is. Maar zou dit niet automatisch vertrouwd moeten zijn vanuit het domein?
Doe ik iets verkeerd?
[ Voor 3% gewijzigd door Hemmen op 28-10-2016 15:19 ]