我最近安装了 AD 证书服务。现在我家网络中的所有东西都在使用防火墙颁发的证书。在防火墙上,我可以签署 CSR,我可以简单地创建证书并定义有效期等。
我的问题是,在 Windows CA 上是否有办法“创建证书”?我在 Google 上搜索了一段时间,发现所有信息都指向 CSR。我找不到任何信息来说明如何简单地从头创建由 Windows CA 签名的证书,就像我在防火墙上做的那样。
提前致谢。
答案1
一种方法是使用 certreq.exe 创建 CSR,并在 CA 上处理它。
certreq.exe -new request.inf somename.contoso.com
然后保存颁发的证书并在创建 CSR 的机器上履行它:
certreq.exe -accept <filename>
还可以使用 certreq 配置 CA 进行直接注册。
https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/certreq_1
请求.inf:
[NewRequest]
Subject = "CN=somename.contoso.com, OU=Headquarters, O=Contoso Inc, L=Washington, S=DC, C=US"
Exportable = TRUE
KeyLength = 2048
KeySpec = 1 ; Key Exchange and Digital Signatures
KeyUsage = 0XB0 ; Digital Signature, Key Encipherment, Data Encipherment
MachineKeySet = TRUE
ProviderName = "Microsoft RSA Schannel Cryptographic Provider"
RequestType = PKCS10
HashAlgorithm = SHA256
[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1 ; Server Authentication
OID=1.3.6.1.5.5.7.3.2 ; Client Authentication