ども。こんにちは。
またまたSSL証明書な話です。
先日作りなおしたばかりですが、やっぱりsha256対応にしたいなと思って作りなおすことにしました。
そのまえに、とりあえずPOODLE対策にSSLv3を無効化しておきます(忘れそうなので。)
SSLProtocol all -SSLv2 -SSLv3
↑こんな感じで、conf.d/ssl.confを変更。うちはもともと-SSLv2のみでした。
さて、証明書の作り直しと行きたいところですが、うちの認証機関(エンタープライズCA?AD CS?っていうのかな?)は、暗号化サービスプロバイダ(CSP)はsha1で作ってましたね。。。
※Microsoft RSA/Schannel Cryptographic Providerってやつですね。
あ、ちなみにうちのDCはWindows Server 2008 R2 Service Pack 1です。
こいつをsha256にしないと・・・
うーん。作り直し?なのかなー。と思って調べてみたら、コマンドでできる模様?
#てかM$さんも、自分とことGoogleでsha1やめるぽよ的な事言いながらちょいと不親切じゃないっすかね。。。
Upgrade Certification Authority to SHA256
http://blogs.technet.com/b/pki/archive/2013/09/19/upgrade-certification-authority-to-sha256.aspx
certutil -setreg ca\csp\CNGHashAlgorithm SHA256
net stop certsvc
net start certsvc
やってみますた。
あれ、何も考えずにCA証明書の書き換えやっちゃったけど、自動で出来てたっぽい??んん。。。
なんか色々してたらCA 証明がいっぱいになった。。。
とりあえずなんか疲れたので適当にやったら出来ました。
まだまだ勉強不足ですねえ。
ではでは。またの機会に。