我正在 Linux 上使用 openssl 生成证书签名请求 (CSR),该请求将提交给已配置为存档私钥的 Windows 证书服务认证机构。
不幸的是,我不知道如何使用 openssl 生成包含私钥的 CSR,以便 CA 既可以颁发我的证书又可以存档私钥。
编辑:基于此Microsoft 文档,看起来我正在尝试做的是使用 CMC 格式生成 CSR,这允许私钥“跟随”存档请求。
来自该链接:
证书请求使用的格式之一是证书请求的 CMC 格式,该格式支持可选的加密数据有效负载。这是带有私钥存档的证书请求所需的格式。从技术上讲,任何支持 CMC 协议的客户端都可以向企业 CA 注册并请求 CA 存档私钥。
更多发现:
这两个链接的组合(一,二) 是使用 Microsoft 的 certreq 实用程序执行此操作的方法。我已经测试过了,它有效。如果可能的话,我想使用 openssl 来执行此操作。
答案1
停下来。你做错了。
私钥之所以被称为私有的,是有原因的。它是私人的。它不能与任何第三方共享,甚至证书颁发机构也不能。它不需要它来签署 CSR,也不需要知道它。