Windows

將未簽名的 pkcs10 送出給 windows 證書頒發機構

  • May 18, 2018

是否可以讓 Windows Server 證書頒發機構接受未簽名的 PKCS10 證書請求?我收到以下錯誤Error Verifying Request Signature or Signing Certificate The request is not supported. 0x80070032 (WIN32: 50 ERROR_NOT_SUPPORTED)。我希望 CA 跳過簽名檢查並接受請求。

不,Microsoft ADCS 不支持沒有單個受信任簽名的請求。也就是說,請求必須直接簽名(簽名由請求者創建)或外部簽名者。在這種情況下,PKCS#10 請求必須嵌入到 PKCS#7/CMC 請求中,並使用授權的簽名證書進行簽名。

使用 CertEnroll,您可以使用IX509CertificateRequestCmc COM 介面:

  1. 將現有的未簽名請求載入到IX509CertificateRequestPkcs10介面
  2. IX509CertificateRequestCmc使用InitializeFromInnerRequestTemplateName方法將PKCS10請求載入到介面
  3. 用於IX509CertificateRequestCmc::SignerCertificates提供外部簽名者資訊(證書)
  4. 將 CMC 請求載入到IX509Enrollment介面中
  5. 呼叫IX509Enrollment::CreateRequest簽名並創建簽名請求。

最後,您將獲得一個帶有嵌入式未簽名 PKCS#10 請求的簽名 CMC 請求,您可以將其送出到 CA 伺服器。

引用自:https://serverfault.com/questions/912827