我正在使用 Windows Server CA 角色和智能卡登录。我们有一个有效的 PKI 设置和智能卡发行/登录功能。我好奇的是“智能卡登录模板”中的“需要此数量的授权签名”选项以及如何查看签名。对我来说,这个选项很有用,因为来自此模板的证书需要另一个受信任的人/方的授权签名,并防止任意人员颁发智能卡登录证书(前提是注册代理得到妥善保护)。我可以在选中此选项的情况下颁发证书,但我不确定如何查看用于签署登录证书的证书。
我的签名证书取自几乎未经编辑的“注册代理”证书模板副本,并且顺利颁发。当我颁发智能卡登录证书时,系统会提示我选择签名证书(即注册代理证书),选择后,我就可以顺利颁发登录证书。当我检查证书时(双击 Windows CA 管理单元中的证书),链仅显示我的 CA,证书本身就位于其下方。我知道我只是在签署证书,而不是中间 CA,但我的签名证书中的某些内容不应该出现在链/详细信息中吗?
certutil -scinfo显示链已经过验证并且具有两个“CertContext”条目,但是在那里、在验证链中或输出中的任何地方都没有任何迹象表明我签署了证书。
tl;dr,如果颁发证书需要我的签名,那么与我相关的一些内容不应该出现在最终的证书数据中吗?
答案1
您可以通过查看证书颁发机构 MMC ( certsrv.mmc) 中的原始请求来了解注册代理是谁。
选择已颁发证书文件夹,找到您感兴趣的证书。右键单击证书并选择所有任务->导出二进制数据...。在打开的对话框中,选择二进制请求并确认查看格式化的文本版本数据在点击之前被选中好的按钮。
现在将打开记事本,其中包含请求的文本表示。这相当混乱且难以阅读,但如果您滚动到底部,您会看到一个以 和 分隔的证书================ Begin Nesting Level 1 ================。================ End Nesting Level 1 ================这是 EA 的证书。检查主题:了解详情。