ITよろづや

ITの参考になる情報を備忘録代わりに残していきます

ADCSをSHA2に移行後 新しい証明書は新しいルート証明書が必要?

ADCSをSHA2に移行後 新しい証明書は新しいルート証明書が必要かどうか気になったのですが、あくまで情報となりますが、新しいSHA2の証明書を使う場合はSHA2のルート証明書が必要みたいです。

 

情報元※英語

http://www.cusoon.fr/update-microsoft-certificate-authorities-to-use-the-sha-2-hashing-algorithm-2/ 

 

以下は抜粋です。

 

リモートピア用に発行した証明書は、証明書と以前のルート証明書が有効である限り有効です。
私の意見では、以前のSHA1ルート証明書を保持して、すべてのピアのSHA2にゆっくりと移行できるようにする方が良いと考えています。
以前のSHA1ルート証明書に基づく証明書を使用しているクライアントは問題ありませんが、新しいSHA2ルート証明書に基づく証明書を使用しているクライアントには新しいルート証明書が必要です。

 

同じCA局でSHA1とSHA2のどちらも発行できることはないので、このあたりは注して移行する必要がありそうですね。

 

また、実際にSHA1のルート証明機関をSHA2に移行するときに選択肢があり、SHA1のままにするか、SHA2に移行するか選択できます。ルート証明書SHA1のままにすると、ルート証明書の入れ替えなしに使用することが可能です。また、世の中のSHA2移行にはルート証明書は含まれません。