如果密钥已被导入为可导出,是否有办法将私钥标记为不可导出?
更多见解:
已导入包含私钥的证书,并可选择允许导出私钥。但是,我们想稍微加强一下安全性,并将密钥标记为不可导出。由于该证书是通配符证书,并且绑定到许多网站,因此我们希望避免删除证书并重新导入。
环境是Windows Server 2012 R2。
答案1
据我所知,在您的情况下将私钥标记为不可导出的唯一方法是重新导入证书。一旦导入,您就无法修改设置该选项的布尔变量。
查找并定义私钥是否可导出的变量是:
PrivateKeyExportable
Optional
System.Boolean
The PrivateKeyExportable parameter specifies whether the certificate has an exportable private key, and controls whether you can export the certificate from this server. Valid values are:
$true The private key is exportable, so you can export the certificate from this server.
$false The private key isn't exportable, so you can't export the certificate from this server. This is the default value.
答案2
经过一番研究,我还得出结论,如果不重新导入密钥,就无法将密钥标记为不可导出,正如 13nilux 的答案所述。
不过,我发布这个答案是为了补充一个事实:如果删除证书然后重新导入,使用该证书的 SSL/TLS 绑定不会受到影响。
这意味着我对使用该通配符证书的众多绑定的主要担心根本不是问题。
我必须补充一点,我使用证书管理单元进行重新导入,而不是 IIS 管理器 - 服务器证书界面。