internet-explorer - 使用未标记为可导出的私钥的证书

Question

我想知道哪个私钥未标记为可导出的证书的用途。我看到从 Internet Explorer 向证书服务器发送证书请求时，它提供了将密钥标记为不可导出的选项。

Answer 1

这不是在创建证书请求时创建不可导出私钥的常见使用场景，除非此密钥直接发送到硬件（USB 令牌等）。然而，例如在公司环境中创建机器绑定证书时，这是可能的。在这种情况下，最好将证书标记为不可导出 - 如果机器不在了，您可以为新机器颁发新证书并阻止（撤销）之前的证书。

当您使用私钥导入现有证书时，通常会使用不可导出的密钥 - 出于安全原因设置了不可导出的标志。