如何将根 CA 上的 CSR 导入待处理请求队列并在命令行上查看应用的策略?

如何将根 CA 上的 CSR 导入待处理请求队列并在命令行上查看应用的策略?

我在 Windows Server 2019 上有一个独立的根 CA

我知道certutil.exe -dump certificate.req我可以检查 CSR,但是根 CA 的策略可能会覆盖请求的扩展属性。

在桌面版上,将 CSR 导入根 CA 后,我可以检查待处理的请求,并查看根 CA 策略可能在哪里覆盖请求的扩展属性、添加其他扩展或删除它们。

例如,CSR 请求密钥使用扩展为关键,但根 CA 策略会覆盖密钥使用请求并删除关键标志,如下图所示。

在此处输入图片描述

我的问题是:

  1. 如何在命令行或 PowerShell 中将 CSR 文件导入待处理请求队列?
  2. 我如何才能看到 CA 实际上是如何颁发证书的(在命令行上还是在 PowerShell 中)?

答案1

要将 CSR 导入队列,请使用:

certreq.exe -submit <csr file>

要查看请求扩展,您需要知道RequestId上述命令将返回的。使用(对于的 RequestId 123):

certutil.exe -view -restrict "ExtensionRequestId=123" Ext

查看请求属性:

certutil.exe -view -restrict "AttributeRequestId=123" Attrib

在此过程中,您可以使用以下命令查看请求本身:

certutil.exe -view -restrict "RequestId=123" Queue

或者,对于以前颁发的证书:

certutil.exe -view -restrict "RequestId=123" Log

您可以-v在之后添加-view以获取更详细的信息,也可以csv在末尾添加以获取 CSV 输出。

相关内容