问题标签 [certreq]

我注意到 OpenSSL 和 certreq 如何生成 PKCS10 CSR 的细微差别：

• OpenSSL：

• 微软certreq：

（以及具有相同的页脚，除了 END）

PKCS10 规范没有关于这些页眉/页脚的任何信息，所以我怀疑它们不是规范的一部分。我希望能够处理尽可能多的 CSR 格式，所以：

是否有 CSR 的“BEGIN”标头规范？

另外：是否存在其他形式的 CSR 标头？不是 openssl 或 certreq 的 CSR 生成工具使用什么？

我需要能够使用 Microsoft AD CS 自动注册大量用户。我已经创建了这些用户能够自动注册的证书模板。

我现在需要创建请求并自动接受证书，无需 UI 交互。

我的第一个想法是使用带有 -q 选项的certreq来抑制交互：

然后服务器回答：

我认为 -q 选项启用了默认值的使用，其中一些可能为空。

在命令行注册中使用 AD CS 证书模板时，是否有任何方法可以为其他信息（例如 CN、SAN DNS...）提供 certreq？

我在 PowerShell 中使用以下命令，效果很好：

此命令处理对 SSL CSR 的 CA 响应。

我的问题是如何获取此命令生成的新证书的缩略图？

我已经使用 openssl 创建了 CSR，我希望 Microsoft CA 使用带有模板作为 webServer 的命令行对其进行签名。

我正在尝试构建可以更新过期证书的工具，并且我正在努力调用 certreq 命令：

这个正在工作：

但那个没有

我认为这是因为我需要接受来自证书颁发机构的提示并且该提示没有显示。

该脚本在执行时在本地工作：

你有什么想法？

我尝试过 psexec ，但也没有用。:S

我想将 WinRM 与 https 传输一起使用。我购买了 Comodo 证书（错误状态我不能使用自签名证书），其主题与我的 Windows 10 计算机（未加入域）的 FQDN（系统中的完整计算机名称）匹配：

尝试使用以下命令创建 https 侦听器时：

WinRm 快速配置-传输：https

我收到错误消息：

错误号：-2144108267 0x80338115 无法在 HTTPS 上创建 WinRM 侦听器，因为这台机器没有适当的证书。要用于 SSL，证书必须具有与主机名匹配的 CN，适用于服务器身份验证，并且没有过期、撤销或自签名。

我已在多个商店（本地机器/个人和受信任的根证书颁发机构）中安装（双击 *.crt 文件）证书，但 WinRM 无法创建 https 侦听器。http 侦听器工作正常。

一些额外信息：当使用 certreq 尝试安装*.cer证书时，我收到错误：

未找到元素。0x80070490 (WIN32: 1168 ERROR_NOT_FOUND)

如何让 WinRM 与 https 一起工作？

我正在使用以下 ini 文件：

然后我运行以下命令：

现在，在第二个命令中，即 certreq -submit 要求我选择 2 个证书颁发机构之一。我有一个不应该有任何此类弹出窗口的要求，它应该作为 ini 文件或 certreq -submit 命令的一部分提供。提前致谢。

我想使用 Certreq.exe 命令创建证书请求。要开始一个新请求，我需要强制的 inf 文件。

有我的问题，我需要一个创建的 inf 文件，除了正常的变量（CN、O、OU、Provider、长度...）与我在 IIS GUI 上创建 Cert Crequest 完全相同。

我的问题是，有没有办法找出MS使用的“标准”关键参数是什么，或者我可以从已经创建的证书中得到这个（我知道证书详细信息，不需要所有信息）？

谢谢

我正在使用 Microsoft 证书颁发机构从公司网络签署一些证书。使用certreq实用程序一切正常，但我没有在任何地方找到模板的用途。

就我而言，我需要在 Linux 服务器（使用 OpenSSL）中创建一些证书请求，然后在另一台服务器（Windows Server 2012）中使用 Microsoft CA 对其进行签名。该过程基本描述如下：

• 在 Linux 服务器中创建 .csr 文件和密钥 ( openssl req -newkey rsa:1024 -keyout myKey.key -out myCsr.csr -subj /CN=mydomain.com/O=Organization/C=US/ST=ST/L=City)；
• 将 csr 文件发送到安装了 CA 的 Windows Server；
• 调用 certreq 实用程序来创建证书本身（certreq -submit -attrib "CertificateTemplate:MyWebServerTemplate" -config DOMAINCA\CA1 myCsr.csr myCert.cer）；
• 需要时，再次将证书发送到 Linux 并使用命令将 .cer 转换为 .crt openssl x509 -outform DER -in myCert.cer -out myCert.crt。当 certreq 与-binary选项一起使用时，这是需要的

据我所知，模板的选择是强制性的，但无论我选择哪个，都会发生变化。我试图选择许多模板，但显然任何改变

更新： 经过一些测试，我注意到有些模板实际上改变了CSR中的一些原始信息，但我的问题仍然是：模板的目的是什么，既然信息都在CSR中，为什么它是强制性的？如何强制 MS CA 使用 CSR 信息？

我是这个证书管理的新手。我在这个过程中误解了什么吗？

尽管证书签名请求是在同一台机器上创建的，但使用实用程序导入.cer证书certutil无法将其与其私钥匹配。

我正在使用certreq生成.csr用于获取此证书的文件，并且在.inf我有Exportable = True标志。通过 mmc 向导手动执行导入有效，但从管理控制台运行以下命令时无效。

certutil -addstore -f "My" "website_aps_production.cer"

此外，在使用 certutil 导入证书后，查看 mmc 我注意到友好名称已重置（显示为无）。

从cmd导入证书后，我已经尝试过repairstore机制，但没有帮助。

certutil -repairstore my >cert_thumbprint<

更新

我尝试使用 导入证书certreq -accept -machine website_aps_production.cer，但这会引发错误：无法将证书链构建到受信任的根颁发机构。0x800b010a并且控制台中出现附加警告无法安装证书颁发机构颁发的证书。请联系您的管理员。