l0s*_*0ck 2 windows certificate-authority
通过命令行从 Windows CA 获取证书、ca 证书和私钥(又名 .pfx 文件)的正确方法是什么?
我一直在这样做的方式是我使用记事本创建一个请求文件,其中包含所有相关设置(exportable=true,增强型密钥使用扩展,主题),然后使用 certreq(-new 标志)将该 .inf 转换为 . req,并使用 certreq 将其提交给 CA 以获取证书。然后,我将添加该证书 certreq(-accept 标志),然后使用 certutil -privatekey -exportpfx 标志将其导出。
我这样做正确吗?
我认为您可能已经在尽可能少的步骤中做到了。在您拥有私钥和签名的 CSR 之前,您无法拥有 PFX,并且在 CA 批准您的请求之前您无法拥有签名证书。(这可能需要也可能不需要管理员手动批准,具体取决于证书模板设置。)
但是,certreq 在生成 CSR 时会将您的私钥保存在您的证书存储中,这就是您通常必须在生成请求的同一台计算机上完成证书请求的原因。我不禁感到这至少在一定程度上是一些微软编码人员试图“保护我们免受我们自己的伤害”,因为我们不知道如何将我们宝贵的私钥保密。我真的不能责怪他们。如果 certreq 没有让私钥远离他们,我们可能会看到私钥在每个 Web 服务器上的每个 Web 开发人员的桌面配置文件中晃来晃去。
无论如何,我离题了,但是如果您想要比 certreq 给您更多的私钥灵活性,请使用 OpenSSL 命令行工具生成您的私钥。( openssl genrsa -out private.key 2048
) 然后你可以对它们做任何你想做的事情,而无需从证书存储中导出它们的额外步骤。
| 归档时间: |
|
| 查看次数: |
4165 次 |
| 最近记录: |