2

我正在编写一个创建自签名证书的 Powershell 脚本,该证书作为管理员运行良好,但作为管理员失败:

当我调用 Create 方法时失败的一段代码:

$PrivateKey = New-Object -ComObject X509Enrollment.CX509PrivateKey
$PrivateKey.ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
$PrivateKey.KeySpec = 0x1
$PrivateKey.Length = 2048

# set security descriptor
$PrivateKey.SecurityDescriptor = "D:PAI(A;;0xd01f01ff;;;SY)(A;;0xd01f01ff;;;BA)(A;;0x80120089;;;NS)"

# key will be stored in local machine certificate store
$PrivateKey.MachineContext = 0x1

# export will be allowed
$PrivateKey.ExportPolicy = 0x1
$PrivateKey.Create()

它抛出这个错误:

Exception calling "Create" with "0" argument(s): "CertEnroll::CX509PrivateKey::Create: Access is denied. 0x80070005
(WIN32: 5)"
At C:\dev\LinoaSSC.ps1:106 char:1
+ $PrivateKey.Create()
+ ~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo          : NotSpecified: (:) [], MethodInvocationException
+ FullyQualifiedErrorId : ComMethodTargetInvocation

我应该如何排除或解决此错误?多谢你们!

4

2 回答 2

1

您需要成为本地计算机上的管理员才能执行此操作,我相信大多数操作都使用证书。我不知道有任何可接受的方法来解决这个问题,但有一些方法可以提升您的权限。

于 2013-02-19T16:15:25.297 回答
-1

您绝对可以允许非管理员创建机器密钥集。您只需要允许您要创建私钥的帐户对以下默认目录具有写入权限。

C:\ProgramData\Microsoft\Crypto\Keys
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates
C:\ProgramData\Microsoft\Crypto\RSA

然后,在您的代码中,在调用该方法之前提供SecurityDescriptor一个CX509PrivateKey对象Create。默认 SD 是"D:P(A;;0xd01f01ff;;;CO)(A;;0xd01f01ff;;;SY)(A;;0xd01f01ff;;;BA)",但只需为帐户 SID 添加一个条目。

奇怪的是,SecuityDescriptor 确实允许“CO”,即 CreatorOwner,但对于 CNG 证书,私钥是由以 SYSTEM 身份运行的 lsass.exe 创建的,它模拟了请求证书的帐户。默认情况下,这不允许出于某种原因请求证书的帐户。看来,对于 CryptoAPI 证书,CreatorOwner SecurityDescriptor 确实允许使用默认 SecurityDescriptor 的请求帐户。

注意:仔细考虑对您的环境的安全影响。这将允许帐户访问机器存储中的私钥。在我的场景中,与授予帐户完全管理员权限相比,最小权限的委托人是更好的权衡。

于 2018-09-29T19:10:59.917 回答