Я создал автономный центр сертификации в Windows Server 2008. Я могу использовать certreq (из того же ящика) для генерации сертификата с соответствующим CN и т. д. и убедиться, что закрытый ключ можно экспортировать. Когда я запускаю certreq, я получаю файл запроса сертификата и могу перейти в центр сертификации и выдать сертификат с его помощью. Моя проблема заключается в следующем: я хочу создать эти сертификаты для людей, которые не находятся в домене, то есть для отключенных пользователей. Чтобы сделать это, мне нужно предоставить им закрытую и открытую части их ключей. Из центра сертификации я могу экспортировать открытую часть различными способами, и если я загружу оснастку Certificate для консоли, я могу перейти туда и выполнить экспорт закрытого ключа... для "текущего пользователя"
Проблема в том, что я не хочу, чтобы это было для текущего пользователя, я хочу сделать это для чего-то совсем другого. Какие у меня есть варианты? Есть ли способ сделать так, чтобы Центр сертификации экспортировал для меня и пару закрытого и открытого ключей?
Спасибо
решение1
Вы действительно делаете это неправильно. Вам не следует создавать закрытый ключ, это нечастныйключ, когда вы им делитесь.
Есть ли способ сделать так, чтобы центр сертификации экспортировал как частные...
У центра сертификации никогда НЕТ закрытого ключа. Поэтому у центра сертификации нет возможности экспортировать оба. Когда certreq генерирует запрос на сертификат,частныйключ хранится в системе или в хранилище сертификатов пользователя на машине, генерирующей запрос.
Если вы действительно думаете, что вам нужно генерировать ключи+сертификаты для людей вопреки моим советам, то я предлагаю вам использовать что-то другое, а не certreq, для генерации вашего ключа+запроса.
Если бы я был на вашем месте, я бы использовал приложение OpenSSL CLI для генерации закрытого ключа и CSR, отправил бы CSR в CA, подписал бы CSR в CA, затем получил бы сертификат и использовал бы инструмент OpenSSL CLI для создания файла pkcs12 с закрытым ключом и сертификатом.