使用密钥保管库生成客户端证书

Question

使用密钥保管库生成客户端证书

7

针对我们的点到站点VPN，我们希望创建根证书。这样，我们可以为所有需要登录我们的VPN的合作伙伴创建任意数量的客户端证书。（Azure虚拟网络）

手动执行此操作效果很好。我们生成一个充当根CA的证书（自签名）。我们可以像这样在PowerShell中执行此操作：

$cert = New-SelfSignedCertificate -Type Custom -KeySpec Signature -Subject "CN=Kratos Point To Site VPN Root Certificate Win10" -KeyExportPolicy Exportable -HashAlgorithm sha256 -KeyLength 2048 -CertStoreLocation "Cert:\CurrentUser\My" -KeyUsageProperty Sign -KeyUsage CertSign

$clientCert = New-SelfSignedCertificate -Type Custom -KeySpec Signature -Subject "CN=Digicreate Point To Site VPN Client Certificate Win10" -KeyExportPolicy Exportable -HashAlgorithm sha256 -KeyLength 2048 -CertStoreLocation "Cert:\CurrentUser\My" -Signer $cert -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.2")

然而，我们更喜欢使用密钥保管库来管理证书。这个想法是通过使用以下命令直接在密钥保管库中创建证书： Add-AzureKeyVaultCertificate （私钥不可导出）

创建根证书非常完美。但我无法找到如何使用密钥保管库中的“签署”操作签署新证书的方法。

您有任何关于如何完成此操作的示例吗？

- Identity

2个回答

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- Rohit Manohar · Answer 1

请参考https://blogs.technet.microsoft.com/kv/2016/09/26/get-started-with-azure-key-vault-certificates/中的“手动创建证书并由CA签名”部分。

- Jason Ye · Answer 2

但我想使用Azure Key Vault cmdlets基于此根证书创建客户端证书。这可能吗？

您的意思是要下载证书吗？如果是，我们可以使用此脚本进行下载：

将私有证书下载到D：\ cert：

$kvSecret = Get-AzureKeyVaultSecret -VaultName 'jasontest2' -Name 'TestCert01'
$kvSecretBytes = [System.Convert]::FromBase64String($kvSecret.SecretValueText)
$certCollection = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2Collection
$certCollection.Import($kvSecretBytes,$null,[System.Security.Cryptography.X509Certificates.X509KeyStorageFlags]::Exportable)
$protectedCertificateBytes = $certCollection.Export([System.Security.Cryptography.X509Certificates.X509ContentType]::Pkcs12, 'test')
$pfxPath = 'D:\cert\test.pfx'
[System.IO.File]::WriteAllBytes($pfxPath, $protectedCertificateBytes)

将公共证书下载到 D:\cert 目录：

$cert = Get-AzureKeyVaultCertificate -VaultName 'jasontest2' -Name 'TestCert01'
$filePath ='D:\cert\TestCertificate.cer'
$certBytes = $cert.Certificate.Export([System.Security.Cryptography.X509Certificates.X509ContentType]::Cert)
[System.IO.File]::WriteAllBytes($filePath, $certBytes)

更新： $certificateOperation.CertificateSigningRequest 是证书的 base4 编码证书签名请求。

Import-AzureKeyVaultCertificate -VaultName $vaultName -Name $certificateName -FilePath C:\test\OutputCertificateFile.cer

更多信息请参考博客。

更新：
我们应该使用您的CA服务器进行签名操作来签署CertificateSignRequest。

企业证书：
如果您正在使用企业证书解决方案，请生成一个客户端证书，其通用名称值格式为“name@yourdomain.com”，而不是“domain name\username”格式。确保客户端证书基于具有“客户端身份验证”作为使用列表中的第一项而不是智能卡登录等的“用户”证书模板。您可以通过双击客户端证书并查看详细信息>增强型密钥用途来检查证书。