Смена алгоритма подписи SSL-сертификатов в Windows Server Certificate Authority

Необходимо заменить используемый алгоритм (Hash Algorithm) SHA-1 на SHA-256 и перевыпустить корневой сертификат CA.

1. На сервере CA выполнить команду:
certutil -setreg ca\csp\CNGHashAlgorithm SHA256
2. Перезапустить сервис CA
3. Перевыпустить новый корневой сертификат CA (All Tasks - Renew CA Certificate)

В дальнейшем для выпуска сертификатов использовать шаблоны с минимальным уровнем CA (Minimum Supported CAs) не ниже "Windows Server 2008 Enterprise".

Отключение HSTS (HTTP Strict Transport Security) на KEMP LoadMaster

Когда VMware View Connection Server опубликован по протоколу HTTPS на одном доменном имени с публичным сайтом (протокол HTTP) в ряде браузеров (Chrome) происходит автоматическое перенаправление пользователя на сайт View при открытии публичного сайта (HTTP -> HTTPS). Причиной является использование механизма HTTP Strict Transport Security в VMware View Connection Server.

Решается модификацией заголовка, возвращаемого VMware View Connection Server. В KEMP LoadMaster для этого необходимо:
1. Создать правило Header Modification Rule:
Rule Type: Replace Header
Header: Strict-Transport-Security
Pattern: max-age=31536000
Replacement: max-age=0
2. Добавить правило в опубликованный HTTPS-сервис (Advanced Properties - HTTP Header Modification).