Configurer PKCS#1 version 2.1 pour les certificats émis et les listes de révocation d'une autorité de certification

Il peut parfois être nécessaire de algorithme de signature modifier ultérieurement une autorité de certification déjà installée.

La modification de l'algorithme de signature n'aura d'impact que sur les certificats et les listes de révocation émis à partir de la date de transition. Les certificats déjà émis et le propre certificat de l'autorité de certification ne seront pas modifiés. Ils devraient être réémis pour modifier l'algorithme de signature.

Déterminer le réglage actuel

La commande de ligne de commande suivante permet d'afficher la configuration actuelle de l'autorité de certification :

certutil -getreg CA\CSP\AlternateSignatureAlgorithm

PKCS#1 version 1.5 est utilisé lorsque la valeur AlternateSignatureAlgorithm est soit inexistante, soit définie sur „0“.

PKCS#1 version 2.1 est utilisé lorsque la valeur AlternateSignatureAlgorithm est définie sur „1“.

Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.

Configurer PKCS#1 version 2.1 pour l'autorité de certification

La commande de ligne de commande suivante permet de régler l'algorithme de signature d'une autorité de certification sur PKCS#1 version 2.1 :

certutil -setreg CA\CSP\AlternateSignatureAlgorithm 1

Il faut ensuite redémarrer le service d'autorité de certification pour que l'autorité de certification accepte la modification.

Configurer PKCS#1 version 1.5 pour l'autorité de certification

L'inverse est également possible : si l'autorité de certification est configurée sur PKCS#1 version 2.1 et que l'on souhaite passer à la version 1.5, la commande de ligne de commande suivante permet d'y parvenir :

certutil -delreg CA\CSP\AlternateSignatureAlgorithm

Liens complémentaires :

• Utiliser PKCS#1 version 2.1 pour une autorité de certification racine (certificats propres et émis)
• Bases : algorithmes de clés, algorithmes de signature et algorithmes de hachage de signature