Доброго времени суток.
Есть схема offline RootCA + online SubCA, используются для выдачи сертификатов для компонентов vSphere. Возникла проблема на этапе замены самоподписанных сертификатов подписанными от CA и после контакта с тех поддержкой и курения логов было получено вот что:
"Какой алгоритм цифровой подписи для сертификатов вы используете? Проверьте, что он у вас не RSA-PSS. Если так, попробуйте использовать sha256rsa."

вот что имеется в сертификате, выданном для одного из сервисов vSphere:

signature algorithm RSASSA-PSS
signature hash algorithm sha256

т.е. нужно сменить RSASSA-PSS на другой алгоритм, но как это сделать? в настройках шаблона этого нет, нашел только http://social.technet.microsoft.com/Forums/windowsserver/en-US/568ef7b7-5cad-4225-b35a-4630a57a3ac5/change-signature-algorithm-possible?forum=winserversecurity такое, но там речь идет о sah и md5, не о RSA, и то там рекомендация не использовать данный способ. Я также видел http://technet.microsoft.com/en-us/library/hh831373.aspx, но не ясно что за "пониженная безопасность" и какой алгоритм будет использоваться после команды:
certutil -setreg CA\InterfaceFlags -IF_ENFORCEENCRYPTICERTREQUEST
Кто-то что-то подскажет?

Как оказалось изменить можно значение AlternateSignatureAlgorithm в HKLM\System\CurrentControlSet\services\CertSrv\SubCA(RootCA)\CPS на 0. За 100% достоверность пути не ручаюсь, сейчас посмотреть уже не могу. Это значение соответствует SHAxxxRSA, но пришлось перестраивать всю цепочку, компоненты vSphere не поддерживают RSASSA-PSS. При чем даже указав в capolicy значение AlternateSignatureAlgorithm=0 и развернув заново роли RootCA/SubCA подписываются все сертификаты RSASSA-PSS, пришлось вручную изменять значение параметра после установки роли. Тему можно закрыть.