현재 WiFi 라디오에서 EAP-TLS 인증이 사용되고있는 환경에서 개발 중입니다. 이 라디오에서는 인증을 위해 여러 인증서 (클라이언트 인증서, 클라이언트의 개인 키 파일 및 루트 CA 인증서)를로드합니다. 최근에이 Windows Blog post 및 인증서 서명을위한 SHA1 해시 알고리즘의 지원 중단에 대한 몇 가지 다른 게시물을 보았습니다.SHA1 인증서 사용 중단의 영향
내가 주로 사용하는 라디오가 SHA1보다 강력한 인증서 사용을 지원하지 않으며 (SHA2 지원이 전혀 없음) EAP-TLS 및 기타 802.1X 방법이 이 SHA2 로의 이동에 의해 영향을받을 것입니다. CA (고객이 제 3 자 루트 CA를 사용하는 경우 고객이 자체 CA 또는 중개 CA를 만든 경우 루트 CA)는 SHA1 인증서를 계속 발급 할 수 있습니까? 아니면 중지됩니까?
이 문제에 관해 도움을 주셔서 감사합니다.
Microsoft 제품의 SHA1 deprecation 정책은 신뢰할 수있는 루트 프로그램의 구성원이 발급 한 인증서에만 적용됩니다. SHA1은 개인 CA에서 발급 한 인증서로 계속 작동합니다. http://social.technet.microsoft.com/wiki/contents/articles/32288.windows-enforcement-of-sha1-certificates.aspx
CryptoGuy : 감사합니다. 응답과 기사에 대해 대단히 감사드립니다. 이것은 우리의 현재 제품이 2 월 이후에 더 이상 작동하지 않을 것이라는 두려움을 해소합니다. 나는 이것에 관한 또 하나의 질문을 가지고있다. SHA2에있는 루트 CA 또는 중간 CA를 발행하는 인증서가 이미 SHA1 인증서를 발급 할 수 있는지 또는 SHA1의 두 번째 중급 CA가 필요할지 알고 있습니까? – H0ckeyfr33k99
기술적으로 가능합니다. 그러나 호환성을 위해 별도의 PKI 트리를 실행하는 것이 좋습니다. 하나의 트리는 SHA2를 지원하지 않는 레거시 클라이언트 (SHA2를 지원하지 않음)에 대한 SHA1 인증서와 최신 클라이언트의 SHA2 인증서를 제공합니다. – Crypt32
또한 stackoverflow 질문 [어떤 루트 CA가 여전히 sha1 ssl 인증서를 발급합니까?] (http://stackoverflow.com/a/39155353/268847) – rlandster