Roe*_*ers 4 certificate pki x509 certificate-authority ad-certificate-services
我想使用SCEP颁发客户端证书,可能使用ADCS。我们已经有一个内部离线根 CA(安全地存放在保险箱中,仅用于签署和撤销中间证书颁发机构),并且该根受到所有内部客户端和服务器的信任。
为了签署客户端证书,我想创建一个只能做到这一点的中间体:签署客户端证书。具体来说,我不希望使用这个中间件来签署服务器证书(原因是中间件必须在在线系统上,我想限制可能的损坏以防它被破坏)
这甚至可能吗?
小智 5
如果您仅使用客户端身份验证证书 EKU (1.3.6.1.5.5.7.3.2) 创建中间 CA,那么即使模板被更改以允许它认可服务器身份验证证书,他们也会无法通过链式遍历。
在 Windows 上,这将报告带有状态的叶/EE 证书错误CERT_TRUST_IS_NOT_VALID_FOR_USAGE(或者,在 .NET 中,为X509ChainStatusFlags.NotValidForUsage)。
| 归档时间: |
|
| 查看次数: |
1129 次 |
| 最近记录: |