我在 Windows Server 2008 中建立了一個獨立的憑證授權單位。當我執行 certreq 時,我會收到憑證請求文件,我可以進入憑證授權單位並透過它頒發憑證。我的問題是這樣的:我想為不在網域中的人(即斷開連線的使用者)製作這些憑證。為此,我需要向他們提供密鑰的私有部分和公共部分。從憑證授權機構,我可以透過多種方式匯出公共部分,如果我載入控制台的憑證管理單元,我可以去那裡匯出私鑰......對於“目前使用者”
問題是,我不希望它適合當前用戶,我想完全為其他用戶做它。我在這裡有什麼選擇?有什麼辦法可以讓憑證授權單位為我匯出私鑰和公鑰對嗎?
謝謝
答案1
你確實做錯了。您不應該創建私鑰,它不是私人的分享時的關鍵。
有什麼方法可以讓憑證授權單位匯出私有...
憑證授權單位永遠不會擁有私鑰。因此,CA 無法同時導出兩者。當 certreq 產生憑證請求時,私人的密鑰儲存在系統內,或使用者憑證儲存在產生請求的電腦上。
如果您確實認為您必須能夠根據我的建議為人們產生金鑰+證書,那麼我建議您使用 certreq 以外的其他東西來產生您的金鑰+請求。
如果我處於您的位置,我會使用 OpenSSL CLI 應用程式產生私鑰和 CSR,將 CSR 提交給 CA,從 CA 簽署 CSR,然後檢索證書,並使用 OpenSSL CLI 工具建立 pkcs12包含私鑰和憑證的檔案。