Kezdőlap > PKI > SHA1 elavul

SHA1 elavul


Páran jelezték, hogy elég régóta nem írtam kedvenc témámról, a tanúsítványokról. Nos, kezdjük is egyből egy közérdekű közleménnyel: a Microsoft, eredeti terveihez képest, előbbre hozta az SHA1 nyugdíjazását: eredetileg 2017 januári hónapja volt becélozva az SHA1 kivonatolási (hash) mód elavult (deprecated) státuszba kerüléséhez, de már 2016 júniusától nem támogatott. A helyét az SHA2 (SHA256, SHA384, SHA512) veszi át – ehhez a CA kriptográfiai módszerének Key Storage Provider (KSP) kell legyen. Ha valaki Cryptographic Service Provider (CSP)-t használ, mivel az nem tud SHA2-t, szükség lesz még egy kis CA-átalakításra (KSP/CSP témát érintettük itt is, kissé más vonatkozásban; CNG (Cryptography Next Gen) érintett része itt).

Aki le akarja cserélni az új tanúsítványok kivonatolását, annak nincs nehéz dolga: egy emelt szintű parancssorban lefuttatja az alábbi sort, majd újraindítja a CA-kiszolgálót:

certutil -setreg ca\csp\CNGHashAlgorithm SHA256

net stop certsvc

net start certsvc

Fontos, hogy ez csak a mostantól kiállított tanúsítványokra fog vonatkozni, a meglévőkre (beleértve a CA sajátját is!) nem.

Mint látszik, nem a „szokásos” (Next-Next-Finish kategória) kivitelezés a gond, hanem a tervezés – ugyanis kivitelezés után egy pár operációs rendszer nem tudja majd kezelni az új tanúsítványokat: az XP SP3, illetve Win2003 (+patch)-től felfele tudja a Windows az SHA2-t. Ha van egy olyan hálózatunk, ami ennél régebbi oprendszereket (pl. Win2000) futtat, amelyek nem lecserélhetőek, akkor egyik kerülőút a két CA használata lehet.

Reklámok
Kategóriák:PKI Címke: , , ,
  1. bugizozi
    június 28, 2016 - 3:47 du.

    Szia!

    Ennek működnie kellene sima Windows Server 2008-cal is? (nem R2)
    Nekem valahogy nem jön össze 😦
    http://prohardver.hu/tema/nagy_rendszergazda_topic/hsz_13530-13530.html
    Amit azóta csináltam, hogy feltelepítettem az update-eket, de nem hozott javulást.
    Ha esetleg lenne valami ötleted azt szívesen venném 🙂

    Köszi!
    Zoli

    • június 29, 2016 - 7:41 de.

      Szia, a konverziót ugye nem a 2008-as gépen csináltad, ugyanis a 2008-as certutil még nem ismeri?

  2. bugizozi
    június 29, 2016 - 3:08 du.

    Szia!

    De a 2008-on. Akkor ez sima 2008-on esélytelen, legalább 2008 R2 kellene hozzá?

    Köszi!

    • június 29, 2016 - 5:05 du.

      Megoldható sima 2008-on is, de a konverziót egy újabb oprendszeren kell elvégezni.

  3. bugizozi
    június 29, 2016 - 8:52 du.

    Szia!

    Értem.
    Erről lenne egy szájbarágós leírásod olyanoknak akik még nem csináltak ilyet? 🙂

    Köszi!

    • június 30, 2016 - 6:49 de.

      Az általad linkelt fórum-bejegyzésben található MS-leírásban található 5. és 6. pontokat végezd el legalább egy Win8-ason.

  1. No trackbacks yet.

Vélemény, hozzászólás?

Adatok megadása vagy bejelentkezés valamelyik ikonnal:

WordPress.com Logo

Hozzászólhat a WordPress.com felhasználói fiók használatával. Kilépés / Módosítás )

Twitter kép

Hozzászólhat a Twitter felhasználói fiók használatával. Kilépés / Módosítás )

Facebook kép

Hozzászólhat a Facebook felhasználói fiók használatával. Kilépés / Módosítás )

Google+ kép

Hozzászólhat a Google+ felhasználói fiók használatával. Kilépés / Módosítás )

Kapcsolódás: %s

%d blogger ezt kedveli: