Mitunter kann es erforderlich sein, den Signaturalgorithmus einer bereits installierten Zertifizierungsstelle nachträglich zu ändern.
Die Änderung des Signaturalgorithmus wird sich nur auf ab Zeitpunkt der Umstellung ausgestellte Zertifikate und Sperrlisten auswirken. Bereits ausgestellte Zertifikate und das eigene Zertifizierungsstellen-Zertifikat werden nicht verändert. Sie müssten neu ausgestellt werden, um den Signaturalgorithmus zu ändern.
Aktuelle Einstellung ermitteln
Mit folgendem Kommandozeilenbefehl kann man sich die aktuelle Konfiguration der Zertifizierungsstelle anzeigen lassen:
certutil -getreg CA\CSP\AlternateSignatureAlgorithm
PKCS#1 Version 1.5 wird verwendet, wenn der Wert AlternateSignatureALgorithm entweder nicht vorhanden oder auf "0" gesetzt ist.
PKCS#1 Version 2.1 wird verwendet, wenn der Wert AlternateSignatureAlgorithm auf "1" gesetzt ist.
PKCS#1 Version 2.1 für die Zertifizierungsstelle konfigurieren
Mit folgendem Kommandozeilenbefehl kann der Signaturalgorithmus einer Zertifizierungsstelle auf PKCS#1 Version 2.1 eingestellt werden:
certutil -setreg CA\CSP\AlternateSignatureAlgorithm 1
Anschließend muss der Zertifizierungsstellen-Dienst neu gestartet werden, damit die Zertifizierungsstelle die Änderung annimmt.
PKCS#1 Version 1.5 für die Zertifizierungsstelle konfigurieren
Auch der umgekehrte Weg ist möglich: Ist die Zertifizierungsstelle auf PKCS#1 Version 2.1 konfiguriert, und man möchte auf Version 1.5 wechseln, kann dies mit folgendem Kommandozeilenbefehl erreicht werden:
certutil -delreg CA\CSP\AlternateSignatureAlgorithm