Службы сертификации AD
 

Добрый день!
Может быть кто сталкивался и имеет опыт работы с центром сертификации MS.
Имеется домен (win 2008r2), в домене центр сертификации уровня предприятия с корневым сертификатом с алгоритмом хеширования SHA-1, с помощью этого сертификаты подписаны сертификаты для нескольких web сервисов внутри домена и, соответственно, Google Chrome сейчас на них ругается, мол устаревшие алгоритмы подписи. Отсюда вопрос, как лучше перейти к SHA-2 не переиздавая корневой сертификат?
1. Сделать еще один центр сертификации с закрытым ключом с алгоритмом подписи SHA-2
2. Либо каким то образом создать издающий центр сертификации, который бы выпустил сертификаты, на которые бы не ругался Google Chrome

Светит вариант первый.
http://www.sysadmins.lv/blog-en/sha1...-properly.aspx
http://www.sysadmins.lv/blog-en/sha1...ification.aspx

Вот у google цепочка сертификатов: корневой с алгоритмом подписи SHA-1, издающий SHA-2, и браузер не ругается на цепочку :) интересно просто, как так сделали, и, кстати, не только у google.