Ich habe in Windows Server 2008 eine eigenständige Zertifizierungsstelle eingerichtet. Ich kann certreq (aus derselben Box) verwenden, um ein Zertifikat mit dem entsprechenden CN usw. zu generieren und sicherzustellen, dass der private Schlüssel exportierbar ist. Wenn ich certreq ausführe, erhalte ich die Zertifikatsanforderungsdatei und kann zur Zertifizierungsstelle gehen und damit ein Zertifikat ausstellen. Mein Problem ist folgendes: Ich möchte diese Zertifikate für Personen erstellen, die nicht in der Domäne sind – also nicht verbundene Benutzer. Dazu muss ich ihnen den privaten und den öffentlichen Teil ihrer Schlüssel geben. Von der Zertifizierungsstelle aus kann ich den öffentlichen Teil auf verschiedene Weise exportieren, und wenn ich das Zertifikat-Snap-In für die Konsole lade, kann ich dorthin gehen und einen Export des privaten Schlüssels durchführen … für „aktuellen Benutzer“
Das Problem ist, dass ich es nicht für den aktuellen Benutzer einrichten möchte, sondern für etwas ganz anderes. Welche Möglichkeiten habe ich hier? Gibt es eine Möglichkeit, dafür zu sorgen, dass die Zertifizierungsstelle sowohl das private als auch das öffentliche Schlüsselpaar für mich exportiert?
Danke
Antwort1
Das machst du wirklich falsch. Du solltest den privaten Schlüssel nicht erstellen, es ist keinPrivatSchlüssel, wenn Sie ihn freigeben.
Gibt es eine Möglichkeit, dafür zu sorgen, dass die Zertifizierungsstelle sowohl die privaten ... exportiert?
Die Zertifizierungsstelle HAT nie den privaten Schlüssel. Es besteht also keine Möglichkeit, dass die Zertifizierungsstelle beides exportieren kann. Wenn certreq eine Zertifikatsanforderung generiert,PrivatDer Schlüssel wird im System- oder Benutzerzertifikatsspeicher auf dem Computer gespeichert, der die Anforderung generiert.
Wenn Sie wirklich meinen, dass Sie entgegen meinem Rat Schlüssel und Zertifikate für andere Personen generieren müssen, schlage ich vor, dass Sie zum Generieren Ihres Schlüssels und Ihrer Anforderung etwas anderes als certreq verwenden.
Wenn ich an Ihrer Stelle wäre, würde ich die OpenSSL-CLI-Anwendung verwenden, um einen privaten Schlüssel und eine CSR zu generieren, die CSR an die Zertifizierungsstelle senden, die CSR von der Zertifizierungsstelle signieren lassen, dann das Zertifikat abrufen und das OpenSSL-CLI-Tool verwenden, um eine pkcs12-Datei mit dem privaten Schlüssel und dem Zertifikat zu erstellen.