Windows Server 2008 でスタンドアロンの証明機関を作成しました。certreq (同じボックスから) を使用して、適切な CN などで証明書を生成し、秘密キーがエクスポート可能であることを確認できます。certreq を実行すると、証明書要求ファイルを取得し、証明機関に移動して証明書を発行できます。問題は、ドメインにいないユーザー (つまり、切断されたユーザー) 用にこれらの証明書を作成したいということです。これを行うには、キーの秘密部分と公開部分をユーザーに提供する必要があります。証明機関から、公開部分をさまざまな方法でエクスポートできます。コンソールの証明書スナップインをロードすると、そこに移動して「現在のユーザー」の秘密キーをエクスポートできます。
問題は、これを現在のユーザー用ではなく、まったく別の目的のために作成したいということです。この場合、どのようなオプションがありますか? 証明機関が秘密鍵と公開鍵の両方のペアをエクスポートするようにする方法はありますか?
ありがとう
答え1
これは本当に間違っています。秘密鍵を作成するべきではありません。プライベート共有するときにキーを使用します。
証明機関が秘密鍵と秘密ファイルの両方をエクスポートできるようにする方法はありますか?
認証局は秘密鍵を所有していません。そのため、CAが両方をエクスポートすることはできません。certreqが証明書要求を生成すると、プライベートキーはシステム内、または要求を生成するマシン上のユーザー証明書ストア内に保存されます。
私のアドバイスに反して、人々のためにキーと証明書を生成しなければならないと本当に考えている場合は、certreq 以外のものを使用してキーと要求を生成することをお勧めします。
私があなたの立場であれば、OpenSSL CLI アプリケーションを使用して秘密鍵と CSR を生成し、CSR を CA に送信し、CA から CSR に署名し、証明書を取得し、OpenSSL CLI ツールを使用して秘密鍵と証明書を含む pkcs12 ファイルを作成します。