Setelah menjalankan perintah berikut, Penggunaan Kunci yang Diperpanjang / Penggunaan Kunci yang Ditingkatkan menunjukkan otorisasi klien dan server, bagaimana cara menghapus opsi ini untuk CA Root dan CA Menengah, karena CA seharusnya tidak memiliki opsi ini. Parameter lain apa yang harus ditambahkan ke dalam New-SelfSignedCertificate untuk menghapus opsi di bawah ini? Otentikasi Klien (1.3.6.1.5.5.7.3.2) Otentikasi Server (1.3.6.1.5.5.7.3.1)

Windows 10 Power Shell v5 membuka sl 1.1.1

$RootCA = New-SelfSignedCertificate -Subject 'CN=KeyCARootCN,O=Test Organisation, OU=Test RootCA,C=AU'  -KeyLength 2048 -KeyAlgorithm 'RSA' -HashAlgorithm 'SHA256' -KeyExportPolicy Exportable -KeyUsage KeyEncipherment,DataEncipherment,CertSign,DigitalSignature,CRLSign -Provider 'Microsoft Enhanced RSA and AES Cryptographic Provider' -NotAfter (Get-Date).AddYears(40) -KeyUsageProperty All -TextExtension @(“2.5.29.19 ={critical} {text}ca=1&pathlength=5”) -CertStoreLocation Cert:\LocalMachine\My
$RootCA
$RootCAthumbprint = $RootCA.Thumbprint


$CertRootCAPassword = ConvertTo-SecureString -String “Test123” -Force –AsPlainText
$CertRootCAFilePFX = Export-PfxCertificate -Cert cert:\LocalMachine\My\$RootCAthumbprint -FilePath C:\Users\KeyCARoot.pfx -Password $CertRootCAPassword

$CertRootCAFileCER = Export-Certificate -Cert $RootCA -FilePath C:\Users\KeyCARoot.cer

$CertRootCAFileCER
$CertRootCAPath = 'C:\Users\KeyCARoot.cer'
0
Melissa 20 November 2020, 15:20

1 menjawab

Jawaban Terbaik

Cobalah ini:

Import-Module PKI

$params = @{
    Type = [Microsoft.CertificateServices.Commands.CertificateType]::Custom
    Subject = 'CN=KeyCARootCN,O=Test Organisation, OU=Test RootCA,C=AU'
    KeyLength = 2048
    KeyAlgorithm = 'RSA'
    HashAlgorithm = [System.Security.Cryptography.HashAlgorithmName]::SHA256
    KeyExportPolicy = [Microsoft.CertificateServices.Commands.KeyExportPolicy]::Exportable
    KeySpec = [Microsoft.CertificateServices.Commands.KeySpec]::Signature
    KeyUsage = @([Microsoft.CertificateServices.Commands.KeyUsage]::CertSign,
        [Microsoft.CertificateServices.Commands.KeyUsage]::DigitalSignature,
        [Microsoft.CertificateServices.Commands.KeyUsage]::CRLSign)
    KeyUsageProperty = [Microsoft.CertificateServices.Commands.KeyUsageProperty]::All
    TextExtension = @('2.5.29.19={critical}{text}ca=1&pathlength=5')
    NotAfter = (Get-Date).AddYears(40)
    Provider = 'Microsoft Enhanced Cryptographic Provider v1.0'
    CertStoreLocation = 'Cert:\LocalMachine\My'
}

$RootCA = New-SelfSignedCertificate @params

Secara umum, Anda mungkin terlalu menentukan beberapa opsi yang tidak diperlukan. Seperti yang Anda lihat dari atas, saya cukup menambahkan jenis sertifikat Custom, menghapus opsi Penggunaan Kunci KeyEncipherment dan DataEncipherment, dan menukar penyedia CSP. Mempertahankan semua opsi penandatanganan untuk Penggunaan Kunci harus cukup untuk sertifikat CA Root dan Intermediate.

Secara opsional, Anda dapat menambahkan ,'2.5.29.37={text}2.5.29.37.0' ke daftar TextExtension jika Anda ingin Penggunaan Kunci yang Disempurnakan menjadi "Tujuan Apa Pun".

1
Dharman 22 November 2020, 02:48