Блог

После выполнения следующей команды расширенное использование ключа / расширенное использование ключа показывает авторизацию как клиента, так и сервера, как мне удалить эту опцию для корневых и промежуточных ЦС, поскольку у ЦС не должно быть этих опций. Какие еще параметры следует добавить в New-SelfSignedCertificate, чтобы удалить приведенный ниже параметр? Проверка подлинности клиента (1.3.6.1.5.5.7.3.2) Проверка подлинности сервера (1.3.6.1.5.5.7.3.1)

Windows 10 Power Shell v5 openssl 1.1.1

 $RootCA = New-SelfSignedCertificate -Subject 'CN=KeyCARootCN,O=Test Organisation, OU=Test RootCA,C=AU'  -KeyLength 2048 -KeyAlgorithm 'RSA' -HashAlgorithm 'SHA256' -KeyExportPolicy Exportable -KeyUsage KeyEncipherment,DataEncipherment,CertSign,DigitalSignature,CRLSign -Provider 'Microsoft Enhanced RSA and AES Cryptographic Provider' -NotAfter (Get-Date).AddYears(40) -KeyUsageProperty All -TextExtension @(“2.5.29.19 ={critical} {text}ca=1amp;pathlength=5”) -CertStoreLocation Cert:LocalMachineMy
$RootCA
$RootCAthumbprint = $RootCA.Thumbprint


$CertRootCAPassword = ConvertTo-SecureString -String “Test123” -Force –AsPlainText
$CertRootCAFilePFX = Export-PfxCertificate -Cert cert:LocalMachineMy$RootCAthumbprint -FilePath C:UsersKeyCARoot.pfx -Password $CertRootCAPassword

$CertRootCAFileCER = Export-Certificate -Cert $RootCA -FilePath C:UsersKeyCARoot.cer

$CertRootCAFileCER
$CertRootCAPath = 'C:UsersKeyCARoot.cer'
 

Попробуйте:

 Import-Module PKI

$params = @{
    Type = [Microsoft.CertificateServices.Commands.CertificateType]::Custom
    Subject = 'CN=KeyCARootCN,O=Test Organisation, OU=Test RootCA,C=AU'
    KeyLength = 2048
    KeyAlgorithm = 'RSA'
    HashAlgorithm = [System.Security.Cryptography.HashAlgorithmName]::SHA256
    KeyExportPolicy = [Microsoft.CertificateServices.Commands.KeyExportPolicy]::Exportable
    KeySpec = [Microsoft.CertificateServices.Commands.KeySpec]::Signature
    KeyUsage = @([Microsoft.CertificateServices.Commands.KeyUsage]::CertSign,
        [Microsoft.CertificateServices.Commands.KeyUsage]::DigitalSignature,
        [Microsoft.CertificateServices.Commands.KeyUsage]::CRLSign)
    KeyUsageProperty = [Microsoft.CertificateServices.Commands.KeyUsageProperty]::All
    TextExtension = @('2.5.29.19={critical}{text}ca=1amp;pathlength=5')
    NotAfter = (Get-Date).AddYears(40)
    Provider = 'Microsoft Enhanced Cryptographic Provider v1.0'
    CertStoreLocation = 'Cert:LocalMachineMy'
}

$RootCA = New-SelfSignedCertificate @params
 

В общем, вы, возможно, переопределили некоторые параметры, которые не являются необходимыми. Как вы можете видеть выше, я просто добавил Custom тип сертификата, удалил параметры KeyEncipherment DataEncipherment использования ключа и и заменил поставщика CSP. Сохранение всех параметров подписи для использования ключа должно быть достаточным для корневых и промежуточных сертификатов CA.

При желании вы можете добавить ,'2.5.29.37={text}2.5.29.37.0' его в свой TextExtension список, если хотите, чтобы расширенное использование ключа было «Любым назначением».