我们有一个运行独立 CA(证书颁发机构)和 Web 注册的 Windows 2008 R2,因此用户可以访问http://[服务器名称]/certsrv申请证书的网站。高级证书申请表 (/certsrv/certrqma.asp) 允许申请带有“将密钥标记为可导出”(复选框)的证书。
看图片:https://dl.dropboxusercontent.com/u/3724852/web-enroll.png
我想知道 CA 是否有办法确定用户是否选中了“将密钥标记为可导出”选项? - 例如从 CA 待处理请求列表中:
看图片:https://dl.dropboxusercontent.com/u/3724852/ca_pending_requests.png
我们的目标是拒绝“将密钥标记为可导出”请求,这样用户就不会导出证书并将其安装到另一台计算机中。
答案1
您为什么不禁用此特定模板上的“允许导出私钥”选项?这样,就没有人可以选择该选项了。这样做似乎可以解决您的大问题。
答案2
就像 MDMarra 所说的那样 - 客户端如何处理他们的密钥并不属于 CA 的业务,因此修复必须在用户生成密钥的阶段进行。