我目前正在使用EAP-TLS身份驗證的環境中開發嵌入式WiFi無線電。在該無線電上,我們加載了多個用於認證的證書(客戶端證書,客戶端的私鑰文件和根CA證書)。我最近遇到了這個Windows Blog post 和其他一些關於證書籤名的SHA1哈希算法的廢棄。SHA1證書棄用的影響
我的主要問題是,我使用的無線電不支持使用比SHA1更強的證書(根本沒有SHA2支持),我想知道EAP-TLS和其他802.1X方法是否將受到向SHA2轉變的影響。如果客戶使用第三方根CA,客戶是否可以創建自己的CA或中級CA,是否可以頒發SHA1證書?是否也會被停止?
我很感激任何關於這個問題的幫助和支持。
Microsoft產品中的SHA1棄用策略僅影響受信任的根計劃成員頒發的證書。 SHA1將繼續爲專用CA頒發的證書工作:http://social.technet.microsoft.com/wiki/contents/articles/32288.windows-enforcement-of-sha1-certificates.aspx
CryptoGuy:謝謝你非常喜歡迴應和文章。這減少了我擔心我們目前的產品將在二月以後不再工作。我還有一個與此有關的問題。 您知道發佈SHA2上的根CA或中級CA的證書是否已經能夠頒發SHA1證書,或者是否需要SHA1上的第二個中間CA? – H0ckeyfr33k99
從技術上講,這是可能的。但是,出於兼容性考慮,我強烈建議運行單獨的PKI樹,其中一個樹將爲舊版客戶端(不支持SHA2)提供SHA1證書,爲現代客戶端提供SHA2證書。 – Crypt32
另請參閱stackoverflow問題[哪個根CA仍然頒發sha1 ssl證書?](http://stackoverflow.com/a/39155353/268847) – rlandster