如何在來自 Windows CA 的智能卡登錄證書中查看滿足“授權簽名”選項的簽名
我正在玩 Windows Server CA 角色和智能卡登錄。我們有一個有效的 PKI 設置和智能卡發行/登錄工作。我很好奇的是“智能卡登錄模板”中的“需要這個數量的授權簽名”選項以及如何查看簽名。對我來說,這個選項很有用是有道理的,因為來自這個模板的證書需要來自另一個受信任的人/方的授權簽名,並防止任意人頒發智能卡登錄證書(前提是註冊代理得到適當保護)。我可以在選中此選項的情況下頒發證書,但我不確定如何查看用於簽署登錄證書的證書。
我的簽名證書取自“註冊代理”證書模板的幾乎未經編輯的副本,並且順利簽發。當我頒發智能卡登錄證書時,系統會提示我選擇一個簽名證書(即 Enrollment Agent 證書),選擇它後,我可以很好地頒發登錄證書。當我檢查證書時(點兩下 Windows CA 管理單元中的證書),鏈僅顯示我的 CA,證書本身就在其下方。我知道我只是在簽署證書,而不是中間 CA,但我的簽名證書中的某些內容不應該出現在鏈/詳細資訊中嗎?
certutil -scinfo
顯示鏈已驗證並具有兩個“CertContext”條目,但驗證鏈中或輸出中的任何地方都沒有任何跡象表明我簽署了證書。tl;博士,如果證書頒發需要我的簽名,與我有關的東西不應該出現在最終的證書數據中嗎?
您可以通過查看證書頒發機構 MMC (
certsrv.mmc
) 中的原始請求來了解註冊代理是誰。在左側窗格中選擇Issued Certificates文件夾並找到您感興趣的證書。右鍵點擊證書並選擇****All Tasks -> Export Binary Data…。在打開的對話框中,選擇Binary Request並確認View formatted text version of data已選中,然後點擊OK按鈕。
記事本現在將打開請求的文本表示。這相當混亂且難以閱讀,但如果您滾動到底部,您會看到一個用
================ Begin Nesting Level 1 ================
and分隔的證書================ End Nesting Level 1 ================
。這是 EA 的證書。檢查**主題:**了解詳情。