我目前正在使用EAP-TLS身份验证的环境中开发嵌入式WiFi无线电。在该无线电上,我们加载了多个用于认证的证书(客户端证书,客户端的私钥文件和根CA证书)。我最近遇到了这个Windows Blog post 和其他一些关于证书签名的SHA1哈希算法的废弃。SHA1证书弃用的影响
我的主要问题是,我使用的无线电不支持使用比SHA1更强的证书(根本没有SHA2支持),我想知道EAP-TLS和其他802.1X方法是否将受到向SHA2转变的影响。如果客户使用第三方根CA,客户是否可以创建自己的CA或中级CA,是否可以颁发SHA1证书?是否也会被停止?
我很感激任何关于这个问题的帮助和支持。
Microsoft产品中的SHA1弃用策略仅影响受信任的根计划成员颁发的证书。 SHA1将继续为专用CA颁发的证书工作:http://social.technet.microsoft.com/wiki/contents/articles/32288.windows-enforcement-of-sha1-certificates.aspx
CryptoGuy:谢谢你非常喜欢回应和文章。这减少了我担心我们目前的产品将在二月以后不再工作。我还有一个与此有关的问题。 您知道发布SHA2上的根CA或中级CA的证书是否已经能够颁发SHA1证书,或者是否需要SHA1上的第二个中间CA? – H0ckeyfr33k99
从技术上讲,这是可能的。但是,出于兼容性考虑,我强烈建议运行单独的PKI树,其中一个树将为旧版客户端(不支持SHA2)提供SHA1证书,为现代客户端提供SHA2证书。 – Crypt32
另请参阅stackoverflow问题[哪个根CA仍然颁发sha1 ssl证书?](http://stackoverflow.com/a/39155353/268847) – rlandster