Windows 证书颁发机构提供无法通过 PAN OS 读取的证书

问题

在使用 Windows 证书颁发机构2008R2 或更高版本时, 可能会遇到以下情况:

• SSL 客户端证书身份验证在固定门户或全局保护上失败
• SSL 连接上的 LDAP 没有原因而失败
• Windows CA 为使用管理或捕获而签名的服务器证书未能提交错误消息, 指出使用不受支持的算法。
• 由 Windows ca 签名的解密证书 ca 无法提交错误消息, 说明使用了不支持的算法。

在提交到防火墙时, 通常会看到以下错误信息, 该消息不排除此问题的唯一性:

错误: 无法加载证书: 解析 tbs 证书不支持的算法。

原因

默认情况下, Windows CA 2008R2 和更高版本将使用 RSASSA PSS 算法对其证书进行签名。此算法在许多 SSL 栈供应商和早期版本的 Windows (Server2008 和 WindowsVista) 的支持下都很差, 并且目前不受泛 OS 的支持。

解决办法

应用下列变通方法之一:

• [首选解决方案]使用其他不使用 RSASSA PSS 算法的证书颁发机构
• 编辑 Windows CA 服务器注册表HKEY_LOCAL_MACHINE \ 系统 \ CurrentControlSet \ 服务 \ CertSvc \ 配置 \ IssuingCA \ CSP \ AlternateSignatureAlgorithm并将其值设置为 0. 然后, 使用此 CA 删除/重新颁发失败证书。
  警告:此操作未由 Microsoft 正式支持, 应由主管的 Windows 管理员操作.

所有者: cpainchaud