Мы проходим процесс переключения наших сертификатов, подписанных SHA-1, на сертификаты SHA-256, в первую очередь из-за постепенного перехода Google SHA-1 к закату. Многие из этих серверов являются серверами IIS на базе Windows, поэтому мы также настраиваем их на использование новых сертификатов для соединений TLS для RDP.
Этот процесс также включает в себя замену промежуточных сертификатов, поскольку серверы в настоящее время используют их (SHA-1), и им нужно будет использовать новые (SHA-256).
Проблема в том, что я не могу понять, как заставить серверы прекратить использование промежуточного звена SHA-1. С RDP по TLS они продолжают отправлять его вместо нового промежуточного сертификата SHA-256, который отбрасывает официальный клиент Mac RDP:
Однако сообщение об ошибке (недоверенный корневой сертификат) неверно.
Ключевым моментом, однако, является то, что это происходит только при отправке промежуточного звена SHA-1. Используя OpenSSL, я вижу, что промежуточное соединение SHA-1 отправляется.
Когда он отправляет промежуточное соединение SHA-256, сообщение об ошибке не появляется. Как я могу настроить свои серверы Windows для отправки и никогда не отправлять сервер SHA-1? Или я что-то неправильно понимаю и не в порядке?
Вещи, которые я пробовал:
- С помощью кнопки "Изменить свойства" на промежуточном сертификате SHA-1 отключите его для всех целей.
- Удаление промежуточного сертификата SHA-1 из всех хранилищ сертификатов.
- Перезапуск службы удаленного рабочего стола после этих вещей.
- Перезагрузка после этих вещей.
Заметки:
- Клиенты Windows не затрагиваются. Они подключаются очень хорошо и указывают, что соединение безопасно.
- Мы используем сертификаты StartCom. Все затронутые серверы ранее были настроены с сертификатами SHA-1 и промежуточным звеном StartCom SHA-1, но теперь у них установлены SHA-256.
- Новые Windows-серверы, на которых установлен только SHA-256, работают отлично.