问题[pki](server)

我有两个 Windows 系统与 AWS CloudHSM v2（cavium HSM）相关联。一方面，我生成了 CSR，并接受/添加了使用该 CSR 购买的证书。我可以签名并通过密钥容器从 HSM 正确提取私钥。

另一个签名是我的生产签名系统，它与现有证书一起正常工作，但是当我尝试添加新证书时，没有Key Container设置。我习惯于需要运行修复过程，但在这种情况下，我没有提供文件的 ID。

1. 认证"\Program Files\Amazon\CloudHSM\tools\set_cloudhsm_credentials.exe" --user REDACTED --password "..."
2. 添加证书certutil -addstore my my-new-cert.crt
3. 转储商店详细信息certutil -store my > cert_store_details.txt

    Serial Number: REDACTED
    Issuer: CN=DigiCert Trusted G4 Code Signing RSA4096 SHA384 2021 CA1, O=DigiCert, Inc., C=US
     NotBefore: 1/25/2022 12:00 AM
     NotAfter: 1/25/2023 11:59 PM
    Subject: CN=REDACTED, C=US, SERIALNUMBER=REDACTED, OID.1.3.6.1.4.1.311.60.2.1.2=Delaware, OID.1.3.6.1.4.1.311.60.2.1.3=US, OID.2.5.4.15=Private Organization
    Non-root Certificate
    Cert Hash(sha1): REDACTED
    No key provider information
    Cannot find the certificate and private key for decryption.

通常，我会创建一个 repair.txt 像这样在和之间使用Key Containerid但是，我没有其中一个，所以我不走运=&Container

        [Properties]
        11 = "" ; Add friendly name property
        2 = "{text}" ; Add Key Provider Information property
        _continue_="Container=&"
        _continue_="Provider=Cavium Key Storage Provider&"
        _continue_="Flags=0&"
        _continue_="KeySpec=2"    

如果我只是进行维修certutil -repairstore my "REDACTED"，那么我会被要求提供智能卡。哦，这台机器是 Windows Core 2016（所以没有 UI 或有限的 UI）。

是否可以使用两个不同的 CA 运行 FreeRadius（版本 3.0.13）？所以我有一个来自一个 CA 的服务器证书，而客户端证书来自另一个 CA？

我们当前的设置/etc/raddb/mods-enabled/eap看起来有点像：

...
tls-config tls-common {
  certificate_file = ${certdir}/server.pem  # certificate only from CA ONE
  ca_file = ${cadir}/ca.pem                 # complete chain from CA TWO
  auto_chain = no
  ca_path = ${cadir}                        # contains all certs/complete chains from both CAs
}
...

这是我在日志中看到的错误：

Mon Dec 20 13:15:30 2021 : ERROR: (352) eap_tls: ERROR: TLS Alert read:fatal:unknown CA
Mon Dec 20 13:15:30 2021 : ERROR: (352) eap_tls: ERROR: TLS_accept: Failed in error
Mon Dec 20 13:15:30 2021 : ERROR: (352) eap_tls: ERROR: Failed in __FUNCTION__ (SSL_read)

一旦客户端和服务器从同一个 CA 获得证书，一切正常。

那么服务器和客户端是否可以有不同的 CA？如果是，我需要做什么才能完成这项任务？

我们的 AD 域中有两个中间企业 CA (Windows AD CS)。两个 CA 都只启用了证书颁发机构角色。

CA1 负责向工作站和用户颁发证书，并具有模板Workstation Auth。

CA2 负责向服务器颁发证书，并有一个模板Server Auth。

自动注册在我们域中的所有工作站和服务器上启用并且正在工作。

问题：

工作站应仅针对 CA1 进行自动注册
，服务器应仅针对 CA2 进行自动注册。

我想使用组策略来实现这一点。

我知道我可以只允许安全组成员在模板上自动注册，这会奏效。

但是，我更喜欢使用组策略的解决方案，因为我们将工作站和服务器组织在不同的 OU 中。我可以使用 OU 上的组策略来定位这两个组。安全组解决方案需要我们在此基础上管理两个新的安全组。

是否可以将工作站或服务器配置为仅从特定企业 CA 自动注册？如果可以使用组策略来实现，我对替代方案持开放态度。

我有一个必须需要经理批准的证书模板（自动注册）。

为此，我选中了颁发要求选项卡中的CA 证书管理器批准复选框。

计算机会自动注册，并且证书被放置在CA的挂起队列中。

我的愿望是，一旦挂起的证书被手动批准，证书应该更新，或者如果模板主要版本增加，则无需经理批准。但我无法让它工作。

当我增加证书的主要版本时，该请求永远不会自动发出，而是再次放入待处理队列以进行手动发出。

我尝试将与注册相同的标准更改为有效的现有证书，但这并没有改变任何东西。

为了加快我的故障排除速度，我曾经certutil -pulse在请求计算机上启动自动注册过程。

编辑：

受影响服务器上的自动注册策略：

我有一个基于 Windows Server 2019 Core的独立根CA。

我知道certutil.exe -dump certificate.req我可以检查 CSR，但根 CA 的策略可能会覆盖请求的扩展属性。

在桌面版中，将 CSR 导入根 CA 后，我可以检查挂起的请求，并查看根 CA 策略可能覆盖请求的扩展属性、添加其他扩展或删除它们的位置。

例如，CSR 请求密钥使用扩展为关键，但根 CA 策略覆盖密钥使用请求并删除关键标志，如下图所示。

我的问题是：

1. 如何在命令行或 PowerShell 中将 CSR 文件导入待处理的请求队列？
2. 如何在命令行或 PowerShell 中查看 CA 实际颁发证书的方式？

我有一个独立的根 CA (RootCA) 和一个企业从属 CA (SubCA)。两者都是 Windows Server 2019。

RootCA 在尝试签署 SubCA 的 CSR 时似乎忽略了 CAPolicy.inf 文件配置设置，如待处理请求属性视图中所示：

RootCA ( %SystemRoot%\CAPolicy.inf) 上的 CAPolicy.inf 是这样的：

[Version]
Signature= "$Windows NT$"

[Strings]
szOID_KEY_USAGE = "2.5.29.15"

[Extensions]
%szOID_KEY_USAGE% = AwIBhg==
Critical = %szOID_KEY_USAGE%

在 RootCA 安装期间，CAPolicy.inf 用于使根证书的 KeyUsage 扩展至关重要。这可以在根证书属性以及 certocm.log 中看到：Opened Policy inf: C:\Windows\CAPolicy.inf

该文件指出

CAPolicy.inf 是一个配置文件，它定义了应用于根 CA 证书和根 CA 颁发的所有证书的扩展、约束和其他配置设置。

那么，为什么 RootCA 在颁发（SubCA）证书时会忽略 CAPolicy.inf，尽管文档另有说明？

假设我有一个 CSR，其中某些Subject字段不是根据 X.509 创建的 - Subject中有禁止字符，或者Country被提供为“England”。

有什么办法可以从中恢复吗？

我试过了：

• 使用policy.inf重新签署证书，但我找不到任何方法来更改现有主题
• 直接在 CA 上编辑请求，但由于 CSR 中有一些禁止的内容，请求立即失败，并且使用certutil -setattributes导致“CERTSRV_E_BAD_REQUESTSUBJECT”（有点预期，但有点奇怪，因为您可以尝试重新发出请求“失败”列表）。

我认为在这里“修复”糟糕的 CSR 是不可能的，但也许我错了？

我有一个 AD 设置，显然存在与证书服务功能相关的漏洞。回想一下我参加过的 MS Server 课程，我什么都不记得了，所以我在网上搜索了一下，我倾向于“不”。

我不会在内部为任何东西生成证书 - 允许工作站进行自签名，并且我的父组织有一些步骤可以在我们的服务器上本地生成证书请求，以将其传递给第三方 CA。这似乎是ADCS的主要功能，我似乎没有使用它。

用户不使用 PKI，只使用用户名和密码，而且似乎 ADCS 与验证与智能卡令牌关联的 CA 有关。我可能记错了，这与此无关。

那么仅删除 ADCS 是否安全？我相信如果您将某些东西提升到域控制器（或至少添加角色），它只是默认安装，但我想不出任何时候我与它进行过交互。

DC 运行 Server 2012 和 2019（前者将在不久的将来某个时候被淘汰，将被 Server 2019 取代）。

一位前同事使用 server2008 创建了一个名为 CA1 的内部根 CA。在迁移到较新的操作系统版本期间，创建了服务器 CA2 并关闭了 CA1。现在我的问题是，所有系统仍然认为他们必须要求 CA1 获得新证书。那么我如何告诉他们 CA1 不再存在而他们必须问 CA2 呢？

如果我在其中一台服务器上打开 pkiview.msc，它会将两台服务器都列为证书颁发机构。

什么时候运行命令certutil -f -dspublish "CA01_Fabrikam Root CA.crt" RootCA

输出是

ldap:///CN=Fabrikam Root CA,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=fabrikam,DC=com?cACertificate

证书已添加到 DS 商店。

ldap:///CN=Fabrikam Root CA,CN=AIA,CN=Public Key Services,CN=Services,CN=Configuration,DC=fabrikam,DC=com?cACertificate

证书已添加到 DS 商店。

CertUtil: -dsPublish command completed successfully.

这个证书信息实际存储在哪里？DS商店在哪里？