Я использую openssl в Linux для создания запроса на подпись сертификата (CSR), который будет отправлен в центр сертификации служб сертификации Windows, настроенный для архивирования закрытых ключей.
К сожалению, я не могу понять, как использовать openssl для создания CSR, включающего закрытый ключ, чтобы центр сертификации мог как выдать мой сертификат, так и заархивировать закрытый ключ.
Изменить: на основе этого Документация Microsoft, похоже, что я пытаюсь создать CSR, используя формат CMC, который позволяет закрытому ключу «идти вместе» с запросом на архивирование.
По этой ссылке:
Один из форматов, используемых в запросе сертификата, - это формат CMC для запросов сертификатов, который поддерживает дополнительную полезную нагрузку зашифрованных данных. Это формат, необходимый для запросов сертификатов с архивированием закрытого ключа. Технически любой клиент, поддерживающий протокол CMC, может зарегистрироваться в ЦС предприятия и запросить архивирование закрытого ключа ЦС.
Еще больше результатов:
Комбинация этих двух ссылок (один, два), как это сделать с помощью утилиты Microsoft Certreq. Я протестировал это, и он работает. Я бы хотел сделать это с помощью openssl, если возможно.
Стоп. Ты делаешь это неправильно.
Закрытый ключ неспроста называется закрытым. это частный. Его нельзя передавать третьим лицам, даже центру сертификации. Он не нуждается в этом для подписания CSR, и ему совершенно незачем знать об этом.