Sertifika sunucularında, SHA1 olarak kurulmuşsa SHA256 yükseltmek gerekiyor. bunun sebebi düşük bir hash algoritmasına sahip olduğu için birçok tarayıcı ya da güvenlik ürünlerinde sorun yaşabiliyoruz. Bu işlem çok karmaşık ya da çok zor olmamakla birlikte, basit bir işlem olarak yapılabilmektedir.
Root Sertifikamıza baktığımızda Hash Algorithm SHA1 olarak görmekteyiz. Bunu SHA256 olarak daha güçlü bir algoritma ile değişikliği göstereceğiz.
İşlemlere başlamadan önce her ihtimale karşı Certificate Authority mutlaka yedekleme işlemlerini yapınız. CA sunucusunun sertifika ve database yedeklerini, regedit yedeklerini alınız.
- aşamada certutil komtu ile yükseltme işlemi yapacağız. Burada yaptığımız işlem CA sunucusunun hash algoritmasını değiştirmektedir. Var olan sertifikanıza etki etmemektedir. bu işlemi yaptığınızda yeni sertifika algoritmanız SHA256 olarak değişecektir.
Net stop certsvc
Certutil -setreg ca\csp\CNGHashAlgorithm SHA256
Net start certsvc
2. Yukarıdaki işlem sonucunda CA konsole üzerine sağ tıklayınız ve properties alanına geliniz. Sertikanızdan bağımsız olarak alt kısımda SHA256 yazdığını göreceksiniz.
3. Artık yeni sertifkaların otomatik olarak sha256 algoritması ile oluşması için CA için yeni sertifika talebinde bulunuyoruz.
Talep işlemi sırasında yeni sertifika sertifika sunucusunu durdurmak isteyecektir. Bu uyarıya Yes seçeneğini seçiyoruz.
Renew CA Certificate adımında yeni public key olmasını istemiyoruz. Var olan key ile devam etmek istediğimizden dolayı, devam etmek için No Seçeneğini seçmekteyiz.
Bu aşamadan sonra yeni bir Root Sertifikamız oluşmuş olacaktır. Eski sertifikayı ortamdan kaldırmayınız. Çünkü bu sertifika üzerinden oluşturulmuş sertifikalar vardır. Bu yüzden bunun süresi dolmadan ortamdan kaldırmak sağlıklı bir yöntem değildir, chain yapısını bozabilirsiniz. bu yüzden her iki roor ca sertifikası da ortamda kalacaktır. Sadece yeni oluşan sertifikalar yeni oluşan sertifka üzerinden yeni chain yapısı oluşacaktır.