0

我正在尝试在现有证书上设置 KeySpec 标志以用于 SQL 服务器加密角色。当前的 KeySpec 为 0,我需要它为 1。

这样做的方法是首先将证书、其私钥和密钥用法导出到 .pfx 文件中(使用密码,不管它声称什么)。然后,利用 certutil,运行 certutil -importpfx AT_KEYEXCHANGE。

这“有效”,因为它提示输入密码(输入正确),但失败并显示以下错误消息:

CertUtil:-importPFX 命令失败:0x80090029 (-2146893783 NTE_NOT_SUPPORTED) CertUtil:不支持请求的操作。

不幸的是,我在网上找不到太多 - 显然只有这篇文章:

https://anotherexchangeblog.wordpress.com/tag/importpfx-command-failed-0x80090029/

这似乎表明这是位于 C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys 的目录的权限问题。具体来说,那个“SYSTEM”对它有权限,他将其删除并让 certutil 工作。但是,我的该目录副本没有具有权限的 SYSTEM - 它看起来与他的图片相同。

没有更多的事情要做,而且这种 certutil 导入方法似乎是将 KeySpec 设置为 1 的唯一方法。从这里我可以做些什么来允许我使用正确的 KeySpec 标志导入该密钥?

4

2 回答 2

2

我在使用 Template = (No Template) CNG Key 生成我的私钥后遇到了这个问题

要将 CNG 密钥转换回旧密钥,您可以使用 OpenSSL ( https://www.google.com/search?q=Download+windows+OpenSSL ) 重新编码证书

  1. 将您当前的证书导出到无密码 pem

    openssl pkcs12 -in mycert.pfx -out tmpmycert.pem -nodes

  2. 将 pem 文件转换为带有密码的新 pfx 文件:

    openssl pkcs12 -export -out mycert2.pfx -in tmpmycert.pem

您可以通过使用 Template = (No Template) Legacy Key 生成 CSR 来避免该问题

祝你好运!

于 2020-07-10T15:03:20.160 回答
1

我在微软工作。我的客户今天得到了这个,我们无法修复它。我们最终制定了新的 CSR。

这是解释关键规范如何工作以及 CNG 与传统加密服务提供商的主要文章。

https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/technical-reference/ad-fs-and-keyspec-property

您可以做的是去您的 MMC 管理单元获取证书。右键单击个人商店 -> 所有任务 -> 高级操作 -> 创建自定义请求。

在没有注册策略的情况下继续 -> 选择旧模板,-> PKCS #10 -> 下一步 -> 详细信息 -> 属性

输入一个友好的名称 -> 添加一个通用名称 -> 为您需要的任何 SAN 添加一个 DNS 名称 -> 在扩展密钥使用上选择服务器和客户端身份验证 -> 在私钥选项卡上 -> 选择 Microsoft 强加密提供程序 -> 用于密钥您想要的选项 2048 -> 使私钥可导出 -> 密钥类型选项卡 -> 选择 Exchange

这将生成一个 (CSR) 证书签名请求,然后让您的授权证书完整填写它。

于 2022-01-12T00:14:04.680 回答