我正在寻求熟悉 ADCS 的任何人给予澄清。
在查看 AD 对象详细信息时,我试图了解为什么我在证书的应用程序策略部分看到 3DES。
具体来说,这个属性:> sPKI 对称算法PZPWSTR3DES`
产品步骤:
- Windows 2022 Server、ADCS 服务
- 模板从 Web 服务器默认模板复制
提取 AD 对象以供审查
ldifde -m -v -d “CN=customwebserver,CN=Certificate Templates,CN=Public Key Services,CN=Services,CN=Configuration,DC=AD,DC=ORGDOMAIN,DC=TLD” -f customwebserver.ldf
以下是报告的对象
dn: CN=ORGWebServer,CN=Certificate Templates,CN=Public Key Services,CN=Services,CN=Configuration,DC=AD,DC=ORG,DC=TLD
changetype: add
cn: ORGWebServer
displayName: ORG Web Server
distinguishedName:
CN=ORGWebServer,CN=Certificate Templates,CN=Public Key Services,CN=S
ervices,CN=Configuration,DC=AD,DC=ORG,DC=TLD
dSCorePropagationData: 20230506203143.0Z
dSCorePropagationData: 16010101000000.0Z
flags: 131649
instanceType: 4
msPKI-Cert-Template-OID:
1.3.6.1.4.1.311.21.8.8801485.870485.13651088.9531739.7367544.199.12269436.1006
0170
msPKI-Certificate-Application-Policy: 1.3.6.1.5.5.7.3.1
msPKI-Certificate-Name-Flag: 1
msPKI-Enrollment-Flag: 0
msPKI-Minimal-Key-Size: 2048
msPKI-Private-Key-Flag: 101056528
msPKI-RA-Application-Policies:
msPKI-Asymmetric-Algorithm`PZPWSTR`RSA`msPKI-Hash-Algorithm`PZPWSTR`SHA256`msP
KI-Key-Usage`DWORD`16777215`msPKI-Symmetric-Algorithm`PZPWSTR`3DES`msPKI-Symme
tric-Key-Length`DWORD`168`
msPKI-RA-Signature: 0
msPKI-Supersede-Templates: WebServer
msPKI-Template-Minor-Revision: 34
msPKI-Template-Schema-Version: 4
name: ORGWebServer
objectCategory:
CN=PKI-Certificate-Template,CN=Schema,CN=Configuration,DC=AD,DC=ORG,
DC=TLD
objectClass: top
objectClass: pKICertificateTemplate
pKICriticalExtensions: 2.5.29.15
pKIDefaultKeySpec: 1
pKIExpirationPeriod:: AEAepOhl+v8=
pKIExtendedKeyUsage: 1.3.6.1.5.5.7.3.1
pKIKeyUsage:: oAA=
pKIMaxIssuingDepth: 0
pKIOverlapPeriod:: AICmCv/e//8=
revision: 100
showInAdvancedViewOnly: TRUE
uSNChanged: 386490
uSNCreated: 14307
whenChanged: 20230506203143.0Z
whenCreated: 20220307012740.0Z
在我看来会话使用的是 3DES,而不是 AES256 之类的?
以前有人见过或者注意过这个吗?
我还无法用 Google 进行深入搜索来确定“msPKI-Symmetric-Algorithm”是否仅用于交换过程、证书请求机器和证书服务器之间的密钥存档,或者使用此证书的两台主机之间的数据保护。
我希望得到一些见解,感谢您的时间。
更新
也许我自己回答了这个问题,但这是我能找到的最好的信息来源:
msPKI-Symmetric-Algorithm:如果存在此属性类型,则客户端必须使用此属性中指定的算法来加密与请求中的公钥相对应的私钥,同时生成密钥存档注册请求,如第 sectionLooks 中所述。在我看来,这只有在注册的证书要存档密钥时才重要。
但是,仅以 3DES 加密将私钥发送给 CA 是最佳做法吗?
我想将值更改为 AES 和 256 以查看它是否会中断。
有趣的是,这是默认值。n 1.3.2.1。此外,客户端应使用此算法加密 Client_HardwareKeyInfo ADM 元素,如第 3.1.1.4.3.4.1.1 节所述。<45> 如果不存在此属性类型,客户端可以根据本地策略选择默认值。<46>
答案1
此属性仅在为证书模板启用密钥存档时使用,并定义用于加密和在 CSR 中存储私钥的对称密钥。使用密钥存档的情况只有两种:
- 电子邮件加密证书模板
- EFS 证书模板
没有其他实际理由使用密钥存档。因此,在您的特定情况下,您可以放心地忽略这些算法,因为它们不会被使用。
您可以安全地将 3DES 更新为 AES256,不会出现任何问题。3DES 是默认设置,以使其与不支持 AES 的基于 Windows Server 2003 的 CA 兼容。请记住,如果您将 3DES 更改为 AES256,则msPKI-Symmetric-Key-Length还需要将属性更新为 256。