我收到一位客户的请求,要求我使用 ECDSA 安装 ADCS,同时为密钥使用特定的 ECC 曲线 (bp384r1)。在创建新密钥和选择 CSP 时,ADCS 安装过程中未列出此曲线(只有 NIST ECDSA_P384)。
我可以通过将密钥算法和 CSP 指定为“ECDSA_brainpoolP384r1,Microsoft 软件密钥存储提供程序”来创建叶证书。但是,这不会显示在 ADCS 安装 GUI 中。
在安装 CA 之前,我也尝试将这些行添加到 capolicy.inf,但没有成功……:
[新要求]
密钥算法=ECDSA_brainpoolP384r1
ProviderName="Microsoft 软件密钥存储提供商"
有没有办法将 KSP 密钥算法限制到特定列表,或者更改所选的默认 ECC 曲线?或者告诉 ADCS 使用我想要的特定密钥算法?
非常感激任何帮助 - 谢谢!
答案1
不幸的是,Microsoft ADCS 将其支持的密钥限制为常见的 NIST 曲线,并且不允许使用 Brainpool 曲线。如果您设法提供带有不受支持的曲线的证书,安装程序将不会接受它。而且我想不出任何可行的解决方法。