我正在尝试为内部域设置远程应用程序。我有一个所有终端计算机都信任的根 CA,该证书已签署我正在尝试用于服务器的通配符证书。
我将通配符证书的 pfx 添加到本地计算机个人存储中。从那里我可以很好地使用它来签署 RD 会话主机会话。
但是,当我尝试为远程应用程序设置签名时,证书没有显示。
我需要做什么才能让我的证书可供使用?
更新:
该证书是通过以下命令生成的:
makecert -pe -n "CN=*.vw.local" -a sha1 -sky signature -ic VetWebCA.cer -iv VetWebCA.pvk -sv VetWebComputerWildcard.pvk VetWebComputerWildcard.cer
pvk2pfx -pvk VetWebComputerWildcard.pvk -spc VetWebComputerWildcard.cer -pfx VetWebComputerWildcard.pfx
生成的 pfx 通过 mmc 添加到机器本地存储。
奇怪的是,进入 Powershell 如果我添加-CodeSigningCert标志来查找通配符证书,它将被排除Get-Childitem在我的Cert:\Local Machine\My路径中的搜索结果之外,但如果我不包含它,它就会在那里。
答案1
远程应用程序似乎需要明确的权限才能使用它进行签名,您不能仅仅使用这些<All>权限。将我的证书生成更改为
makecert -pe -n "CN=*.vw.local" -a sha1 -sky signature -ic VetWebCA.cer -iv VetWebCA.pvk -sv VetWebComputerWildcard.pvk -eku 1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2 VetWebComputerWildcard.cer
解决了问题(1.3.6.1.5.5.7.3.1&1.3.6.1.5.5.7.3.2是客户端身份验证和服务器身份验证权限)