Как сделать запрос сертификата в Windows 11 из командной строки?

Question

Как сделать запрос сертификата в Windows 11 из командной строки?

У нас есть работающий внутренний процесс сертификации и инструкции по его использованию, включающиеcertreq; однако в Windows 11 он перестал правильно генерировать SAN.

Внутренний шаблон сертификата:

          [Version]
    Signature="$Windows NT§"
    [NewRequest]
    Subject = "CN=<machine-name>.domain-name,O=Cedaron,OU=<machine-name>,ST=California,L=Davis,C=US"
    KeyLength =  2048
    KeySpec = 1
    Exportable = True
    ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
    HashAlgorithm = SHA256
    MachineKeySet = True
    SMIME = False
    UseExistingKeySet = False
    RequestType = PKCS10
    KeyUsage = 0xA0
    Silent = True
    FriendlyName = "Certificate SHA-256"
    [EnhancedKeyUsageExtension]
    OID=1.3.6.1.5.5.7.3.1
    [Extensions]
    2.5.29.17 = "{text}"
    _continue_ = "dns=<machine-name>.domain-name&dns=<machine-name>&dns=localhost"

Новый шаблон для решения проблемы (НЕ ИСПОЛЬЗУЙТЕ):

          [Version]
    Signature="$Windows NT§"
    [NewRequest]
    Subject = "CN=<machine-name>.domain-name,O=Cedaron,OU=<machine-name>,ST=California,L=Davis,C=US"
    KeyLength =  2048
    KeySpec = 1
    Exportable = True
    ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
    HashAlgorithm = SHA256
    MachineKeySet = True
    SMIME = False
    UseExistingKeySet = False
    RequestType = PKCS10
    KeyUsage = 0xA0
    Silent = True
    FriendlyName = "Certificate SHA-256"
    [EnhancedKeyUsageExtension]
    OID=1.3.6.1.5.5.7.3.1
    [RequestAttributes]
    SAN="dns=<machine-name>.domain-name&dns=<machine-name>&"

В любом случае я вижу атрибут запроса для SAN в файле, но он поврежден. В настоящее время я получаю неопределенное значение: 0: имя_хоста.имя_доменаmyusernamecertreq

Поиск в Интернете все еще находит те же неработающие инструкции. Например: https://saketupadhyay.medium.com/how-to-create-a-certificate-signing-request-csr-in-2021-windows-11-10-156202d1bf97 Это генерирует необходимое, за исключением того, что SAN больше не существует. заполненный.

Укажите, требуется ли команде powershell. Я не против использования powershell, но если вы не укажете, я включу его в cmd.exe и удивлюсь, почему это не работает.

0

certificate subject-alternative-names

Источник

joshudson 06 июл '22 в 14:25

1 ответ

Другие вопросы по тегам certificate subject-alternative-names

joshudson 07 июл '22 в 00:08 2022-07-07 00:08 · Answer 1 · 2022-07-07 00:08

Так что это был случай, когда все делалось в неправильном порядке. «Новый» шаблон был взят с хорошо известного сайта (нашел не сам сайт, а другой сайт с тем же содержимым https://kb.vmware.com/s/article/2032400 ), но он не работает.

Реальная проблема заключалась в том, что старое программное обеспечение корневого центра сертификации TinyCA было повреждено обновлением безопасности и больше не работало! После замены его на xca исходный шаблон снова начал работать.

Причина, по которой я оставил этот вопрос, заключается в том, что новый шаблон неправильный и до сих пор не работает даже с XCA, но поиск в Интернете продолжает находить новый, а не исходный.

Шаблон в порядке. TinyCA разорен.