He creado una autoridad de certificación independiente en Windows Server 2008. Puedo usar certreq (de ese mismo cuadro) para generar un certificado con el CN apropiado, etc., y asegurarme de que la clave privada sea exportable. Cuando ejecuto certreq, obtengo el archivo de solicitud de certificado y puedo acceder a la Autoridad de certificación y emitir un certificado. Mi problema es este: quiero crear estos certificados para personas que no están en el dominio, es decir, usuarios desconectados. Para hacer esto, necesito darles las partes pública y privada de sus claves. Desde la Autoridad de certificación, puedo exportar la parte pública de varias maneras, y si cargo el complemento Certificado para la consola, puedo ir allí y exportar la clave privada... para el "usuario actual".
El problema es que no quiero que sea para el usuario actual, quiero hacerlo para algo completamente distinto. ¿Cuáles son mis opciones aquí? ¿Hay alguna manera de lograr que la Autoridad de Certificación exporte el par de claves pública y privada por mí?
Gracias
Respuesta1
Realmente estás haciendo esto mal. No deberías crear la clave privada, no es unaprivadoclave cuando la compartes.
¿Hay alguna manera de lograr que la Autoridad de Certificación exporte tanto el privado...?
La autoridad certificadora nunca TIENE la clave privada. Por lo tanto, no hay forma de que la CA pueda exportar ambos. Cuando certreq genera una solicitud de certificado, elprivadoLa clave se almacena dentro del sistema o se almacena el certificado de usuario en la máquina que genera la solicitud.
Si realmente cree que debe poder generar claves+certificados para personas en contra de mi consejo, le sugiero que use algo que no sea certreq para generar su clave+solicitud.
Si estuviera en su lugar, usaría la aplicación OpenSSL CLI para generar una clave privada y una CSR, enviaría la CSR a la CA, desde la CA firmaría la CSR, luego recuperaría el certificado y usaría la herramienta OpenSSL CLI para crear un pkcs12. archivo con la clave privada y cert.