CA-Verschlüsselung und SCEP beim WLC

[fildercom]

Hallo zusammen,

in der Standardkonfiguration eines WLC ist die CA-Verschlüsselung mit DES konfiguriert, der Signatur-Algorithmus und der Fingerprint-Algorithmus der CA mit MD5.

Ich würde beides gerne ändern, zum einen die Verschlüsselung auf AES256 und die beiden Hash-Algorithmen auf SHA2-512.

Mir ist klar, dass die Änderung sowohl beim WLC (= CA) als auch bei den APs (= SCEP-Clients) durchgeführt werden muss. Allerdings sind mir ein paar Punkte nicht ganz klar:
1. Bei der CA-Verschlüsselung (siehe Screenshot 1) ist beim Fingerprint-Algorithmus MD5 eingetragen (Standard-Wert), beim SCEP-Client dagegen steht bei Fingerprint-Algorithmus in der Standard-Einstellung "Aus" und das Feld "Fingerprint" ist leer (siehe Screenshot 2). Warum ist das so? Und wie muss es mit SHA2-512 aussehen? Muss es bei der CA-Verschlüsselung auf "SHA2-512" stehen und bei den SCEP-Clients weiterhin "Aus" sein?
2. Was genau bedeutet der Punkt "Registration-Authority", bei dem in den Standard-Einstellungen ein Haken gesetzt ist? Beim Video-Tutorial zur VPN-Zertifikatsverteilung über SCEP wird dort KEIN Haken gesetzt. Was ist der Unterschied und was wird empfohlen?
3. Wenn ich jetzt die CA-Verschlüsselung auf AES256 und die Hash-Algorithmen auf SHA2-512 ändere, was passiert dann mit den bereits verteilten Zertifikaten? Bleiben diese gültig und funktionsfähig oder müssen sie ersetzt/widerrufen werden? Was passiert außerdem mit bereits von dieser CA erstellten VPN- Router- und Client-Zertifikaten? Muss beim Advanced VPN-Client auch etwas angepasst werden?
4. Was sind eure Tipps, um das "sauber" und ohne Konflikte umzustellen?

Ach ja, bei der URL für die Zertifikats-Anforderung war in der Standard-Einstellung nur normales http eingetragen, das habe ich aber bereits auf https geändert...

Ich würde mich über Tipps und Hilfestellung sehr freuen.

Viele Grüße und danke
fildercom.