我正在寻求任何熟悉 ADCS 的人的澄清。
在查看 AD 对象详细信息时,我试图理解为什么我会在证书的应用程序策略部分看到 3DES。
具体来说这个属性: > s PKI-Symmetric-Algorithm PZPWSTR
3DES `
生产此产品的步骤:
- Windows 2022 Server、ADCS 服务
- 模板从 Web 服务器默认复制
提取 AD 对象以供审核
ldifde -m -v -d “CN=customwebserver,CN=Certificate Templates,CN=Public Key Services,CN=Services,CN=Configuration,DC=AD,DC=ORGDOMAIN,DC=TLD” -f customwebserver.ldf
这是报告的对象
dn: CN=ORGWebServer,CN=Certificate Templates,CN=Public Key Services,CN=Services,CN=Configuration,DC=AD,DC=ORG,DC=TLD
changetype: add
cn: ORGWebServer
displayName: ORG Web Server
distinguishedName:
CN=ORGWebServer,CN=Certificate Templates,CN=Public Key Services,CN=S
ervices,CN=Configuration,DC=AD,DC=ORG,DC=TLD
dSCorePropagationData: 20230506203143.0Z
dSCorePropagationData: 16010101000000.0Z
flags: 131649
instanceType: 4
msPKI-Cert-Template-OID:
1.3.6.1.4.1.311.21.8.8801485.870485.13651088.9531739.7367544.199.12269436.1006
0170
msPKI-Certificate-Application-Policy: 1.3.6.1.5.5.7.3.1
msPKI-Certificate-Name-Flag: 1
msPKI-Enrollment-Flag: 0
msPKI-Minimal-Key-Size: 2048
msPKI-Private-Key-Flag: 101056528
msPKI-RA-Application-Policies:
msPKI-Asymmetric-Algorithm`PZPWSTR`RSA`msPKI-Hash-Algorithm`PZPWSTR`SHA256`msP
KI-Key-Usage`DWORD`16777215`msPKI-Symmetric-Algorithm`PZPWSTR`3DES`msPKI-Symme
tric-Key-Length`DWORD`168`
msPKI-RA-Signature: 0
msPKI-Supersede-Templates: WebServer
msPKI-Template-Minor-Revision: 34
msPKI-Template-Schema-Version: 4
name: ORGWebServer
objectCategory:
CN=PKI-Certificate-Template,CN=Schema,CN=Configuration,DC=AD,DC=ORG,
DC=TLD
objectClass: top
objectClass: pKICertificateTemplate
pKICriticalExtensions: 2.5.29.15
pKIDefaultKeySpec: 1
pKIExpirationPeriod:: AEAepOhl+v8=
pKIExtendedKeyUsage: 1.3.6.1.5.5.7.3.1
pKIKeyUsage:: oAA=
pKIMaxIssuingDepth: 0
pKIOverlapPeriod:: AICmCv/e//8=
revision: 100
showInAdvancedViewOnly: TRUE
uSNChanged: 386490
uSNCreated: 14307
whenChanged: 20230506203143.0Z
whenCreated: 20220307012740.0Z
在我看来,会话使用的是 3DES,而不是 AES256 之类的?
以前有人见过或关注过这个吗?
我还无法通过 Google 搜索来确定“msPKI-Symmetric-Algorithm”是否仅用于交换过程、证书请求计算机和证书服务器之间的密钥存档,或者使用此证书的两个主机之间的数据保护。
我希望得到一些见解,谢谢您的宝贵时间。
更新
也许我回答我自己的问题,但这是我能找到的最好的信息来源:
msPKI-Symmetric-Algorithm:如果存在此属性类型,则客户端必须使用此属性中指定的算法来加密与请求中的公钥对应的私钥,同时生成密钥存档注册请求,如 sectionLooks to me 中指定的仅当注册的证书要存档密钥时,这才重要。
不过,允许仅以 3DES 加密的私钥发送到 CA 是否是最佳实践?
我想我应该将这些值更改为 AES 和 256,看看它是否会损坏。
仍然有趣的是,这是默认值。n 1.3.2.1。此外,客户端应该使用此算法来加密 Client_HardwareKeyInfo ADM 元素,如第 3.1.1.4.3.4.1.1 节中所述。<45> 如果此属性类型不存在,客户端可以根据本地策略选择默认值。<46>
仅当为证书模板启用密钥存档时才使用此属性,并定义用于在 CSR 中加密和存储私钥的对称密钥。使用密钥存档时只有两种情况:
使用密钥归档没有其他实际原因。因此,在您的特定情况下,您可以安全地忽略这些算法,因为它们没有被使用。
您可以安全地将 3DES 更新为 AES256,不会出现任何问题。3DES 是默认值,使其与不支持 AES 的基于 Windows Server 2003 的 CA 兼容。请记住,如果将 3DES 更改为 AES256,则
msPKI-Symmetric-Key-Length
还需要将属性更新为 256。