将未签名的 pkcs10 提交给 Windows 证书颁发机构

将未签名的 pkcs10 提交给 Windows 证书颁发机构

是否可以让 Windows Server 证书颁发机构接受未签名的 PKCS10 证书请求?我收到以下错误Error Verifying Request Signature or Signing Certificate The request is not supported. 0x80070032 (WIN32: 50 ERROR_NOT_SUPPORTED)。我希望 CA 跳过签名检查并直接接受请求。

答案1

不可以,Microsoft ADCS 不支持没有单个可信签名的请求。也就是说,请求必须直接签名(签名由请求者创建)或由外部签名者签名。在这种情况下,PKCS#10 请求必须嵌入在 PKCS#7/CMC 请求中,并使用授权签名证书进行签名。

使用 CertEnroll 您可以使用IX509证书请求CmcCOM 接口:

  1. 将现有的未签名请求加载到IX509CertificateRequestPkcs10接口
  2. IX509CertificateRequestCmc使用InitializeFromInnerRequestTemplateName方法将 PKCS10 请求加载到接口
  3. 用于IX509CertificateRequestCmc::SignerCertificates提供外部签名者信息(证书)
  4. 将 CMC 请求加载到IX509Enrollment接口
  5. 致电IX509Enrollment::CreateRequest签名并创建签名请求。

最后,您将获得一个嵌入未签名的 PKCS#10 请求的签名 CMC 请求,您可以将其提交给 CA 服务器。

相关内容