那些遇到过的问题

使用密钥保管库生成客户端证书

Ide*_*ity 6 certificate azure azure-keyvault

对于我们的点到站点 VPN,我们要创建一个根证书。因此,我们可以为需要登录我们 VPN 的所有合作伙伴创建任意数量的客户端证书。(Azure 虚拟网络)

手动执行此操作非常完美。我们生成一个作为根 ca 的证书(自签名)。我们可以像这样在 powershell 中做到这一点:

$cert = New-SelfSignedCertificate -Type Custom -KeySpec Signature -Subject "CN=Kratos Point To Site VPN Root Certificate Win10" -KeyExportPolicy Exportable -HashAlgorithm sha256 -KeyLength 2048 -CertStoreLocation "Cert:\CurrentUser\My" -KeyUsageProperty Sign -KeyUsage CertSign

$clientCert = New-SelfSignedCertificate -Type Custom -KeySpec Signature -Subject "CN=Digicreate Point To Site VPN Client Certificate Win10" -KeyExportPolicy Exportable -HashAlgorithm sha256 -KeyLength 2048 -CertStoreLocation "Cert:\CurrentUser\My" -Signer $cert -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.2")
Run Code Online (Sandbox Code Playgroud)

但是,我们更喜欢使用密钥保管库进行证书管理。这个想法是使用以下命令直接在密钥保管库中创建证书:Add-AzureKeyVaultCertificate(私钥不可导出)

创建根证书工作正常。但是我无法找到如何使用密钥保管库中的“签名”操作来签署新证书。

你有关于如何做到这一点的样本吗?

Jas*_* Ye 0

但我想使用 azure key Vault cmdlet 基于此根证书创建客户端证书。这可能吗?

您的意思是要下载证书吗?如果是的话,我们可以使用这个脚本来下载它:

将私有证书下载到您的 D:\cert:

$kvSecret = Get-AzureKeyVaultSecret -VaultName 'jasontest2' -Name 'TestCert01'
$kvSecretBytes = [System.Convert]::FromBase64String($kvSecret.SecretValueText)
$certCollection = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2Collection
$certCollection.Import($kvSecretBytes,$null,[System.Security.Cryptography.X509Certificates.X509KeyStorageFlags]::Exportable)
$protectedCertificateBytes = $certCollection.Export([System.Security.Cryptography.X509Certificates.X509ContentType]::Pkcs12, 'test')
$pfxPath = 'D:\cert\test.pfx'
[System.IO.File]::WriteAllBytes($pfxPath, $protectedCertificateBytes)
Run Code Online (Sandbox Code Playgroud)

将公共证书下载到您的 D:\cert:

$cert = Get-AzureKeyVaultCertificate -VaultName 'jasontest2' -Name 'TestCert01'
$filePath ='D:\cert\TestCertificate.cer'
$certBytes = $cert.Certificate.Export([System.Security.Cryptography.X509Certificates.X509ContentType]::Cert)
[System.IO.File]::WriteAllBytes($filePath, $certBytes)
Run Code Online (Sandbox Code Playgroud)

更新:

$certificateOperation.CertificateSigningRequest 是证书的 base4 编码的证书签名请求。

Import-AzureKeyVaultCertificate -VaultName $vaultName -Name $certificateName -FilePath C:\test\OutputCertificateFile.cer
Run Code Online (Sandbox Code Playgroud)

更多信息请参考此博客

更新:
我们应该使用您的 CA 服务器的签名操作来签署 CertificateSignRequest。

企业证书:
如果您使用企业证书解决方案,请生成通用名称值格式“name@yourdomain.com”的客户端证书,而不是“域名\用户名”格式。确保客户端证书基于使用列表中第一项为“客户端身份验证”的“用户”证书模板,而不是“智能卡登录”等。您可以通过双击客户端证书并查看证书查看详细信息 > 增强的密钥用法。

  • 我想使用自定义根 CA 签署新创建的证书。我不想将 CA 的私钥暴露给密钥保管库。其想法是使用根 CA 的私钥通过密钥保管库中的签名操作对 CertificateSignRequest 进行签名。但是,我找不到任何有关如何在 powershell 中执行此操作的示例...... (2认同)
  • 您是否有关于如何签署此 CSR 并更新客户端证书以使其正常工作的示例?我有一个用于点到站点 VPN 的根 CA。要创建客户端证书,我需要使用根 CA 的密钥保管库中的签名操作对 CSR 进行签名。我能够创建我的根 CA,但我找不到有关如何正确签署此客户端证书的示例... (2认同)

归档时间:

查看次数:

2447 次

最近记录:

8 年,4 月 前
相关归档
添加自定义域后,Azure网站会返回404错误 22
在控制台macos中安装.p12或.cer 14
在 .NET 5 中将 IActionResult 与 Azure Functions 一起使用? 7
如何查看Azure API应用程序的swagger ui 6
Kubernetes(Azure 的 AKS)突然出现错误“kubectl x509 证书已过期或尚未有效” 6
MSDN订阅到期后Windows Azure Portal会发生什么. 5
针对开发环境的自签名与真实SSL证书 5
了解iOS开发证书 5
Azure Api 管理将 XML 转换为入站 JSON 策略 4
SVN提交证书问题 3
难疑归档
"px","dip","dp"和"sp"之间有什么区别? 5676
如何让Git"忘记"一个被跟踪但现在位于.gitignore的文件? 4888
为什么Google会在(1)之前提前; 他们的JSON回复? 3940
如何将某些内容附加到数组中? 2895
JavaScript .prototype如何工作? 1988
带请求正文的HTTP GET 1896
如何获取所有Git分支 1371
插入...值(SELECT ... FROM ...) 1340
使用pip安装特定的软件包版本 1199
Vim最有效的捷径是什么? 1127