PKCS#1 Version 2.1 für ausgestellte Zertifikate und Sperrlisten einer Zertifizierungsstelle konfigurieren

Mitunter kann es erforderlich sein, den Signaturalgorithmus einer bereits installierten Zertifizierungsstelle nachträglich zu ändern.

Die Änderung des Signaturalgorithmus wird sich nur auf ab Zeitpunkt der Umstellung ausgestellte Zertifikate und Sperrlisten auswirken. Bereits ausgestellte Zertifikate und das eigene Zertifizierungsstellen-Zertifikat werden nicht verändert. Sie müssten neu ausgestellt werden, um den Signaturalgorithmus zu ändern.

Aktuelle Einstellung ermitteln

Mit folgendem Kommandozeilenbefehl kann man sich die aktuelle Konfiguration der Zertifizierungsstelle anzeigen lassen:

certutil -getreg CA\CSP\AlternateSignatureAlgorithm

PKCS#1 Version 1.5 wird verwendet, wenn der Wert AlternateSignatureALgorithm entweder nicht vorhanden oder auf "0" gesetzt ist.

PKCS#1 Version 2.1 wird verwendet, wenn der Wert AlternateSignatureAlgorithm auf "1" gesetzt ist.

PKCS#1 Version 2.1 für die Zertifizierungsstelle konfigurieren

Mit folgendem Kommandozeilenbefehl kann der Signaturalgorithmus einer Zertifizierungsstelle auf PKCS#1 Version 2.1 eingestellt werden:

certutil -setreg CA\CSP\AlternateSignatureAlgorithm 1

Anschließend muss der Zertifizierungsstellen-Dienst neu gestartet werden, damit die Zertifizierungsstelle die Änderung annimmt.

PKCS#1 Version 1.5 für die Zertifizierungsstelle konfigurieren

Auch der umgekehrte Weg ist möglich: Ist die Zertifizierungsstelle auf PKCS#1 Version 2.1 konfiguriert, und man möchte auf Version 1.5 wechseln, kann dies mit folgendem Kommandozeilenbefehl erreicht werden:

certutil -delreg CA\CSP\AlternateSignatureAlgorithm

Weiterführende Links: