是否可以让 Windows Server 证书颁发机构接受未签名的 PKCS10 证书请求?我收到以下错误Error Verifying Request Signature or Signing Certificate The request is not supported. 0x80070032 (WIN32: 50 ERROR_NOT_SUPPORTED)
。我希望 CA 跳过签名检查并直接接受请求。
答案1
不可以,Microsoft ADCS 不支持没有单个可信签名的请求。也就是说,请求必须直接签名(签名由请求者创建)或由外部签名者签名。在这种情况下,PKCS#10 请求必须嵌入在 PKCS#7/CMC 请求中,并使用授权签名证书进行签名。
使用 CertEnroll 您可以使用IX509证书请求CmcCOM 接口:
- 将现有的未签名请求加载到
IX509CertificateRequestPkcs10
接口 IX509CertificateRequestCmc
使用InitializeFromInnerRequestTemplateName
方法将 PKCS10 请求加载到接口- 用于
IX509CertificateRequestCmc::SignerCertificates
提供外部签名者信息(证书) - 将 CMC 请求加载到
IX509Enrollment
接口 - 致电
IX509Enrollment::CreateRequest
签名并创建签名请求。
最后,您将获得一个嵌入未签名的 PKCS#10 请求的签名 CMC 请求,您可以将其提交给 CA 服务器。