4

我在X509Enrollment.CX509CertificateRequestPkcs10对象InitializeFromPrivateKey()中指定模板参数时遇到问题。除了“用户”模板之外的任何内容都会导致以下异常:-

CertEnroll::CX509CertificateRequestPkcs10::InitializeFromPrivateKey:此 CA 不支持请求的证书模板。0x80094800 (-2146875392)

我需要使用一个特定的证书模板,当我尝试它时,代码会抛出异常。该模板存在于 CA 和运行以下代码的客户端计算机上。

Javascript代码如下:

 <script type="text/javascript">

     var sCertificate = null;
     var sDistinguishedName = "C=\"\";S=\"\";L=\"\";O=\"XXXXX\";OU=\"XXXXXXX\";E=\"XXXXX@XXXX.com\";CN=\"xxxxxxx\";";
     var template = "RegistrationCert"; //Anything Other than "User" fails, have tried template Oid too.

     var classFactory = new ActiveXObject("X509Enrollment.CX509EnrollmentWebClassFactory");
     var objEnroll = classFactory.CreateObject("X509Enrollment.CX509Enrollment");
     var objPrivateKey = classFactory.CreateObject("X509Enrollment.CX509PrivateKey");
     var objRequest = classFactory.CreateObject("X509Enrollment.CX509CertificateRequestPkcs10");
     var objDN = classFactory.CreateObject("X509Enrollment.CX500DistinguishedName");

     objPrivateKey.ProviderName = "Microsoft Enhanced Cryptographic Provider v1.0";
     objPrivateKey.KeySpec = "1";
     objPrivateKey.ProviderType = "1";

    try 
    {
            objRequest.InitializeFromPrivateKey(1, objPrivateKey, template);
            objDN.Encode(sDistinguishedName, 0);
            objRequest.Subject = objDN;
            objEnroll.InitializeFromRequest(objRequest);
            sCertificate = objEnroll.CreateRequest(1);
            document.writeln(sCertificate);
    }
    catch (ex)
    {
             document.writeln(ex.description);
    }
 </script>

其他几个问题
- 我假设模板应该存在于客户端机器上?否则它如何知道 CA 的位置来查询模板?
- 客户端上的 CertEnroll 甚至可以针对 Windows 2003 CA 服务器工作吗?

如果您能帮助我,将不胜感激!!!

附加信息
- 客户端是 Windows 7,MS IE9 客户端以管理员身份运行。
- 通过 HTTPs 访问托管上述页面的 Web 应用程序。
- Web 应用程序托管在 Win2003 CA 服务器上。

在发布之前,我查看了...
- 关于 CertEnroll + InitializeFromPrivateKey 的 Stackoverflow 线程
-关于使用模板 OID 而不是模板名称的博客
- MSDN / alejacma 的站点
- MSDN 上的 CertEnroll API

4

2 回答 2

5

好的,所以想通了..典型的。

  • 使用CX509ExtensionTemplateName ,并使用OID模板值调用InitializeEncode
  • 不要在InitializeFromPrivateKey中指定模板参数。

IE:

var objExtensionTemplate = classFactory.CreateObject("X509Enrollment.CX509ExtensionTemplateName")


objRequest.InitializeFromPrivateKey(1, objPrivateKey, ""); //empty string, don't specify template here
objExtensionTemplate.InitializeEncode(template); //Specify Template as OID value!
objRequest.X509Extensions.Add(objExtensionTemplate);

已在 CA 上验证该请求是针对我指定的模板类型的,并且确实只为该类型创建了一个证书。

希望有一天这对某人有所帮助。

于 2011-08-06T07:36:57.883 回答
1

另请参阅此代码,我在其中使用了不包含您正在使用的方法的较新 DLL。我也没有使用在部署或构建代码时会导致问题的“互操作类型” 。

 CObjectId EkuOid = new CObjectId();
        EkuOid.InitializeFromValue("1.3.6.1.4.1.311.21.8.4946465.16405226.12930948.10533807.2139545.33.5005369.11644649");
        CObjectIds EkuOids = new CObjectIds();
        EkuOids.Add(EkuOid);
        CX509ExtensionEnhancedKeyUsage eku = new CX509ExtensionEnhancedKeyUsage();
        eku.InitializeEncode(EkuOids);
        eku.Critical = false;
        objPkcs10.X509Extensions.Add((CX509Extension)eku);

可以在 serverfault 上使用此方法获取 OID

此代码的替代实现(VBS、C# 等)位于此处。

于 2014-07-03T22:10:45.623 回答