Při migraci certifikační autority z Windows 2003 R2 Serveru na Windows 2008 R2 Server se na serverech se starším operačním systémem začaly zobrazovat hlášky tohoto typu:
The currently selected KDC certificate was once valid, but now is invalid and no suitable replacement was found. Smartcard logon may not function correctly if this problem is not remedied. Have the system administrator check on the state of the domain’s public key infrastructure. The chain status is in the error data.
Při pokusu o automatické prodloužení KDC certifikátu se dále zobrazuje hláška:
The wizard cannot be started because of one or more of the following conditions:
– There are no trusted certification authorities (CAs) available.
– You do not have the permissions to request certificates from the available CAs.
– The available CAs issue certificates for which you do not have permissions.
Celý problém tkví v tom, že certifikační úřad je nakonfigurován pro použití SHA2 256 nebo vyššího šifrování (SHA2 384 nebo SHA2 512), v našem případě SHA 512.
Opravu řeší KB968730, a tedy instalace novější Crypt32.dll knihovny. Hotfix je k dispozici zde.