Eu criei uma autoridade de certificação autônoma no Windows Server 2008. Posso usar certreq (da mesma caixa) para gerar um certificado com o CN apropriado, etc., e garantir que a chave privada seja exportável. Quando executo o certreq, recebo o arquivo de solicitação de certificado e posso entrar na Autoridade de Certificação e emitir um certificado por ele. Meu problema é o seguinte: quero fazer esses certificados para pessoas que não estão no domínio - ou seja, usuários desconectados. Para fazer isso, preciso fornecer a eles as partes pública e privada de suas chaves. Da Autoridade de Certificação, posso exportar a parte pública de várias maneiras e, se carregar o snap-in do Certificado para o console, posso ir até lá e exportar a chave privada... para o "usuário atual"
O problema é que não quero que seja para o usuário atual, quero fazer isso para algo totalmente diferente. Quais são minhas opções aqui? Existe alguma maneira de fazer com que a Autoridade de Certificação exporte o par de chaves privada e pública para mim?
Obrigado
Responder1
Você realmente está fazendo isso errado. Você não deveria criar a chave privada, não é umprivadochave quando você compartilhá-lo.
Existe alguma maneira de fazer com que a Autoridade Certificadora exporte tanto o privado...
A autoridade certificadora nunca TEM a chave privada. Portanto, não há como a CA exportar ambos. Quando certreq gera uma solicitação de certificado, oprivadoa chave é armazenada no sistema ou no armazenamento de certificados do usuário na máquina que gera a solicitação.
Se você realmente acha que deve ser capaz de gerar chaves+certificados para pessoas contra meu conselho, sugiro que você use algo diferente do certreq para gerar sua chave+solicitação.
Se eu estivesse no seu lugar, usaria o aplicativo OpenSSL CLI para gerar uma chave privada e CSR, enviaria o CSR para a CA, da CA assinaria o CSR, recuperaria o certificado e usaria a ferramenta OpenSSL CLI para construir um pkcs12 arquivo com a chave privada e cert.