Переходим на SHA256:
1. На сервере с ролью CA(Certification Authority) проверить текущий используемый алгоритм:
certutil -getreg ca\csp\CNGHashAlgorithm
Если результат выполнения команды SHA256, перейти к шагу 4.
2. По умолчанию результат выполнения команды SHA1. Необходимо выполнить команду:
certutil -setreg ca\csp\CNGHashAlgorithm SHA256
Это перенастроит ваш CA на использование SHA256 для CNG хешей.
3. Перезапустите Certificate Services:
net stop CertSvc && net start CertSvc
4. Перевыпишите ваш корневой сертификат:
certutil -renewCert ReuseKeys
5. Перезапустите службу Certificate Services:
net stop CertSvc && net start CertSvc
Эти действия сгенерируют новый сертификат вашего CA с использованием SHA256 в качестве алгоритма подписи. Необходимо будет распространить новый сертификат клиентам.
http://technet.microsoft.com/en-us/library/cc730763(v=ws.10).aspx
PS (вместо примечания):
*менять алгоритм использования подписи необходимо на корневом и на подчиненном ЦС. Смена алгоритма подписи только на подчиненном, с переизданием сертификата на подчиненном не позволяет выпускать сертификаты для оконечных устройств и пользователей с использованием алгоритма SHA256.