我最近使用证书模板为开发人员创建了一个证书。该模板基于我认为基于 CNG 的现有模板。我能够导出私钥,但开发人员说它需要是 CSP。
经过一些研究,我相信如果我要从代码签名默认模板创建一个新模板,那么这应该是正确的。
这是用于 Azure 中的应用注册,开发人员正在制作一个将导入私钥的 powershell 脚本。据我了解,一旦将证书发布到证书存储中,我将能够导入证书,然后导出 .PKS 和 .CER。要上传到应用注册的 cer 和 powershell 脚本的 PKS。
请有人告诉我这是否可以正常工作,如果不行,请告诉我或指出我应该做的方向。我对此没有那么有经验,我对在公司网络上创建这些并弄乱证书模板感到紧张。已经有前一个需要删除。
删除模板有什么影响?我的理解是它只是删除了模板,任何基于它的证书都可以,因为它只是一个模板,最重要的是颁发的实际证书。这是正确的解释吗?
复制默认代码签名模板并在 Cryptography 选项卡中配置 Legacy CSP 即可且足够。
附带说明:我怀疑您的开发人员使用了一些非常旧的脚本,这些脚本需要 20 多年的 API,这在长期支持和安全性方面可能存在问题。CNG 是每个新工具的推荐方法。我强烈建议您的开发人员重新审视他的脚本并考虑现代加密支持,其中包括更强大的加密、新算法和更容易的长期支持。
最后一部分:从 CA 上的证书模板容器中删除模板,即将它从证书模板中删除以颁发,这很好,因为在某处仍然有一个主副本。
最好不要从存储在 AD 中的主集中删除证书(在 CertSrv 控制台中,右键单击证书模板,管理模板),因为它会使以后更难解释该证书的内容,例如在查询数据库时,如果模板信息消失了,您开始需要推断它的用途。更容易将模板保留在共享的林级集中并从任何 CA 取消发布。