自動註冊到客戶端時生成證書 - AD CS

您可以使用 Microsoft Active Directory 證書服務在 Active Directory 環境中自動註冊電腦證書。

但是，在這件事上，如何為客戶生成證書呢？

以下兩個選項哪個是正確的：

1. 客戶端創建 CSR 以供 AD CS (CA) 簽名。
2. AD CS 生成所有內容並將其發送給客戶端。

第一個是最安全的，因為私鑰只存在於客戶端上。

第二個是最不安全的，因為私鑰也存在於 AD CS 上——即使它可能是暫時的。

第一個選項是正確的。

在 Microsoft ADCS 中，CA 伺服器僅對客戶端準備的請求進行簽名。客戶端使用客戶端 API 創建私鑰和 CSR（例如CertEnroll庫），然後呼叫ICertRequest::SubmitRequest方法向 CA 送出請求。簽名後，客戶端通過呼叫ICertRequest::GetCertificate方法檢索頒發的證書。

CA 無權訪問客戶端私鑰。但是，在實施密鑰存檔時有可能。客戶端將其密鑰安全地傳輸到 CA 伺服器，CA 使用密鑰恢復代理證書對 CA 數據庫中的密鑰進行加密。

引用自：https://serverfault.com/questions/851651