將未簽名的 pkcs10 送出給 windows 證書頒發機構

是否可以讓 Windows Server 證書頒發機構接受未簽名的 PKCS10 證書請求？我收到以下錯誤Error Verifying Request Signature or Signing Certificate The request is not supported. 0x80070032 (WIN32: 50 ERROR_NOT_SUPPORTED)。我希望 CA 跳過簽名檢查並接受請求。

不，Microsoft ADCS 不支持沒有單個受信任簽名的請求。也就是說，請求必須直接簽名（簽名由請求者創建）或外部簽名者。在這種情況下，PKCS#10 請求必須嵌入到 PKCS#7/CMC 請求中，並使用授權的簽名證書進行簽名。

使用 CertEnroll，您可以使用IX509CertificateRequestCmc COM 介面：

1. 將現有的未簽名請求載入到IX509CertificateRequestPkcs10介面
2. IX509CertificateRequestCmc使用InitializeFromInnerRequestTemplateName方法將PKCS10請求載入到介面
3. 用於IX509CertificateRequestCmc::SignerCertificates提供外部簽名者資訊（證書）
4. 將 CMC 請求載入到IX509Enrollment介面中
5. 呼叫IX509Enrollment::CreateRequest簽名並創建簽名請求。

最後，您將獲得一個帶有嵌入式未簽名 PKCS#10 請求的簽名 CMC 請求，您可以將其送出到 CA 伺服器。

引用自：https://serverfault.com/questions/912827