Megosztás a következőn keresztül:

certreq

A certreq paranccsal tanúsítványokat kérhet egy hitelesítésszolgáltatótól( CA), lekérheti egy korábbi kérelemre adott választ egy hitelesítésszolgáltatótól, új kérést hozhat létre .inf fájlból, elfogadhatja és telepítheti a kérésre adott választ, létrehozhat egy kereszttanúsítványt vagy minősített alárendelési kérelmet egy meglévő hitelesítésszolgáltatói tanúsítványból vagy kérelemből, és kereszttanúsítványra vagy minősített alárendelési kérelem aláírására.

Fontos

Előfordulhat, hogy a certreq parancs korábbi verziói nem biztosítják az itt ismertetett összes lehetőséget. A certreq adott verziói alapján támogatott beállítások megtekintéséhez futtassa a parancssori súgót, certreq -v -?.

A certreq parancs nem támogatja az új tanúsítványkérelem létrehozását kulcsigazolási sablon alapján CEP/CES-környezetben.

Figyelmeztetés

A témakör tartalma a Windows Server alapértelmezett beállításain alapul; például állítsa a kulcs hosszát 2048-ra, válassza ki a Microsoft Szoftverkulcstár-szolgáltatót CSP-ként, és használja az 1. biztonsági kivonatoló algoritmust (SHA1). Értékelje ki ezeket a beállításokat a vállalat biztonsági szabályzatának követelményei alapján.

Szinopszis

certreq [-submit] [options] [requestfilein [certfileout [certchainfileout [fullresponsefileOut]]]]
certreq -retrieve [options] requestid [certfileout [certchainfileout [fullresponsefileOut]]]
certreq -new [options] [policyfilein [requestfileout]]
certreq -accept [options] [certchainfilein | fullresponsefilein | certfilein]
certreq -sign [options] [requestfilein [requestfileout]]
certreq –enroll [options] templatename
certreq –enroll –cert certId [options] renew [reusekeys]

Paraméterek

Paraméter Leírás
-előterjeszt Kérelmet küld egy hitelesítésszolgáltatónak.
-<requestid> lekérése Egy korábbi kérésre adott választ kér le egy hitelesítésszolgáltatótól.
-új Új kérést hoz létre egy .inf fájlból.
-elfogad Fogadja és telepíti a tanúsítványkérelemre adott választ.
-politika Beállítja a kérés szabályzatát.
-jel Kereszttanúsítványt vagy minősített alárendelési kérelmet ír alá.
-beiratkozik Tanúsítvány regisztrálása vagy megújítása.
-? Megjeleníti a tanúsítványszintaxisok, a beállítások és a leírások listáját.
<parameter> -? Megjeleníti a megadott paraméter súgóját.
-v -? A certreq szintaxisának, beállításainak és leírásainak részletes listáját jeleníti meg.

Példák

certreq -submit

Alapszintű tanúsítványkérelem elküldése:

certreq –submit certrequest.req certnew.cer certnew.pfx

Megjegyzések

  • Ez az alapértelmezett certreq.exe paraméter. Ha nincs megadva beállítás a parancssorban, certreq.exe megpróbál tanúsítványkérelmet küldeni egy hitelesítésszolgáltatónak. A –Submit beállítás használatakor meg kell adnia egy tanúsítványkérelemfájlt. Ha ez a paraméter nincs megadva, megjelenik egy gyakori Fájl megnyitása ablak, amely lehetővé teszi a megfelelő tanúsítványkérelemfájl kiválasztását.

  • Ha tanúsítványt szeretne igényelni a SAN attribútum megadásával, tekintse meg a Hogyan lehet a certreq.exe segédprogrammal tanúsítványkérelmet létrehozni és elküldeni a Microsoft Tudásbázis szakaszában, 931351 A tulajdonos alternatív neve hozzáadása biztonságos LDAP-tanúsítványhoz.

certreq -retrieve

A 20- os tanúsítványazonosító lekérése és egy MyCertificatenevű tanúsítványfájl (.cer) létrehozása:

certreq -retrieve 20 MyCertificate.cer

Megjegyzések

  • A tanúsítvány lekéréséhez használja a tanúsítványt -retrieve requestid, miután a hitelesítésszolgáltató kiadta. A kérelemazonosító PKC lehet decimális vagy hexa 0x előtaggal, és lehet 0x előtag nélküli tanúsítvány sorozatszáma. Azt is használhatja, hogy lekérje a hitelesítésszolgáltató által valaha kiadott tanúsítványokat, beleértve a visszavont vagy lejárt tanúsítványokat is, anélkül, hogy figyelembe venné, hogy a tanúsítvány kérése valaha is függőben lévő állapotban volt-e.

  • Ha kérelmet küld a hitelesítésszolgáltatónak, előfordulhat, hogy a hitelesítésszolgáltató házirendmodulja függőben hagyja a kérést, és megjeleníti a kérelemazonosítót a certreq-hívónak. Végül a hitelesítésszolgáltató rendszergazdája kiadja a tanúsítványt, vagy megtagadja a kérést.

certreq -new

Új kérés létrehozása:

[newrequest]
; At least one value must be set in this section
subject = CN=W2K8-BO-DC.contoso2.com

Az alábbiakban néhány lehetséges szakaszt találhat, amelyek hozzáadhatók az INF-fájlhoz:

[újkérés]

Az INF-fájl ezen területe minden új tanúsítványkérelmet tartalmazó sablon esetében kötelező, és legalább egy értéket tartalmazó paramétert kell tartalmaznia.

Kulcs1 Leírás Érték2 Példa
Tárgy Számos alkalmazás a tanúsítvány tárgyadataira támaszkodik. Javasoljuk, hogy adjon meg egy értéket ehhez a kulcshoz. Ha a tulajdonos nincs itt beállítva, javasoljuk, hogy adjon meg egy tulajdonosnevet a tulajdonos alternatív névtanúsítvány-bővítmény részeként. Relatív megkülönböztető név sztringértékek Tárgy = CN=computer1.contoso.com Tárgy=CN=John Smith,CN=Felhasználók,DC=Contoso,DC=com
Exportálható Ha IGAZ értékre van állítva, a titkos kulcs exportálható a tanúsítvánnyal. A magas szintű biztonság érdekében a titkos kulcsok nem exportálhatók; bizonyos esetekben azonban szükség lehet rá, ha több számítógépnek vagy felhasználónak ugyanazt a titkos kulcsot kell használnia. true | false Exportable = TRUE. A CNG-kulcsok különbséget tehetnek e és az egyszerű szöveges exportálható között. A CAPI1 billentyűk nem.
ExportálhatóTitkosítva Megadja, hogy a titkos kulcs exportálható legyen-e. true | false ExportableEncrypted = true

tipp: Nem minden nyilvános kulcsméret és algoritmus működik az összes kivonatoló algoritmussal. A megadott CSP-nek támogatnia kell a megadott kivonatoló algoritmust is. A támogatott kivonatoló algoritmusok listájának megtekintéséhez futtassa a következő parancsot: certutil -oid 1 | findstr pwszCNGAlgid | findstr /v CryptOIDInfo
Hash algoritmus A kérelemhez használandó kivonatoló algoritmus. Sha256, sha384, sha512, sha1, md5, md4, md2 HashAlgorithm = sha1. A támogatott kivonatoló algoritmusok listájának megtekintéséhez használja a következőt: certutil -oid 1 | findstr pwszCNGAlgid | findstr /v CryptOIDInfo
Kulcs algoritmus A szolgáltató által nyilvános és titkos kulcspár létrehozásához használt algoritmus. RSA, DH, DSA, ECDH_P256, ECDH_P521, ECDSA_P256, ECDSA_P384, ECDSA_P521 KeyAlgorithm = RSA
Kulcstároló Nem javasoljuk, hogy ezt a paramétert olyan új kérésekhez állítsa be, ahol új kulcsanyag jön létre. A rendszer automatikusan létrehozza és karbantartja a kulcstárolót.

Olyan kérések esetén, ahol a meglévő kulcsanyagot kell használni, ez az érték a meglévő kulcs kulcstárolójának nevére állítható be. A certutil –key paranccsal megjelenítheti a gépkörnyezethez elérhető kulcstárolók listáját. Használja a certutil –key –user parancsot az aktuális felhasználó környezetéhez.

 Véletlenszerű sztringérték

tipp: Használjon dupla idézőjeleket minden olyan INF-kulcsérték körül, amely üres vagy speciális karakterekkel rendelkezik, hogy elkerülje a lehetséges INF-elemzési problémákat.

 KeyContainer = {C347BD28-7F69-4090-AA16-BC58CF4D749C}
Kulcshossz Meghatározza a nyilvános és a titkos kulcs hosszát. A kulcs hossza hatással van a tanúsítvány biztonsági szintjére. A nagyobb kulcshossz általában magasabb biztonsági szintet biztosít; egyes alkalmazások azonban korlátozhatják a kulcs hosszát. Bármely érvényes kulcshossz, amelyet a titkosítási szolgáltató támogat. KeyLength = 2048
Kulcs Meghatározza, hogy a kulcs használható-e aláírásokhoz, Exchange-hez (titkosításhoz) vagy mindkettőhöz. AT_NONE, AT_SIGNATURE, AT_KEYEXCHANGE KeySpec = AT_KEYEXCHANGE
Kulcshasználat Meghatározza, hogy mire kell használni a tanúsítványkulcsot.
  • CERT_DIGITAL_SIGNATURE_KEY_USAGE -- 80 (128)
  • CERT_NON_REPUDIATION_KEY_USAGE -- 40 (64)
  • CERT_KEY_ENCIPHERMENT_KEY_USAGE -- 20 (32)
  • CERT_DATA_ENCIPHERMENT_KEY_USAGE -- 10 (16)
  • CERT_KEY_AGREEMENT_KEY_USAGE -- 8
  • CERT_KEY_CERT_SIGN_KEY_USAGE -- 4
  • CERT_OFFLINE_CRL_SIGN_KEY_USAGE -- 2
  • CERT_CRL_SIGN_KEY_USAGE -- 2
  • CERT_ENCIPHER_ONLY_KEY_USAGE -- 1
  • CERT_DECIPHER_ONLY_KEY_USAGE -- 8000 (32768)
 KeyUsage = CERT_DIGITAL_SIGNATURE_KEY_USAGE | CERT_KEY_ENCIPHERMENT_KEY_USAGE

tipp: Több érték is használ egy cső (|) szimbólumelválasztót. Győződjön meg arról, hogy több érték használatakor kettős idézőjeleket használ az INF-elemzési problémák elkerülése érdekében. A megjelenített értékek az egyes bitdefiníciók hexadecimális (decimális) értékei. Régebbi szintaxis is használható: egyetlen hexadecimális érték több bittel, a szimbolikus ábrázolás helyett. Például: KeyUsage = 0xa0.
KeyUsageProperty Lekéri azt az értéket, amely azonosítja azt a konkrét célt, amelyhez a titkos kulcs használható.
  • NCRYPT_ALLOW_DECRYPT_FLAG -- 1
  • NCRYPT_ALLOW_SIGNING_FLAG -- 2
  • NCRYPT_ALLOW_KEY_AGREEMENT_FLAG -- 4
  • NCRYPT_ALLOW_ALL_USAGES -- ffffff (16777215)
 KeyUsageProperty = NCRYPT_ALLOW_DECRYPT_FLAG | NCRYPT_ALLOW_SIGNING_FLAG
MachineKeySet Ez a kulcs akkor fontos, ha olyan tanúsítványokat kell létrehoznia, amelyek a gép tulajdonában vannak, és nem egy felhasználónak. A létrehozott fő anyag a kérést létrehozó biztonsági tag (felhasználó vagy számítógépfiók) biztonsági kontextusában marad fenn. Amikor egy rendszergazda tanúsítványkérelmet hoz létre egy számítógép nevében, a kulcsanyagot nem a rendszergazda biztonsági környezetében, hanem a számítógép biztonsági környezetében kell létrehozni. Ellenkező esetben a gép nem tudta elérni a titkos kulcsát, mivel a rendszergazda biztonsági környezetében lenne. true | false. Az alapértelmezett érték hamis. MachineKeySet = true
NemElőtt Megadja azt a dátumot vagy dátumot és időpontot, amely előtt a kérelem nem adható ki. NotBefore használható ValidityPeriod és ValidityPeriodUnits. Dátum vagy dátum és idő NotBefore = 7/24/2012 10:31 AM

tipp:NotBefore és NotAfter csak RequestType=cert használhatók. A dátumelemző kísérletek területi szempontból érzékenyek. A hónapnevek használata egyértelmű lesz, és minden területi beállításban működnie kell.
NemUtána Megadja azt a dátumot vagy dátumot és időpontot, amely után a kérelem nem adható ki. NotAfter nem használható ValidityPeriod vagy ValidityPeriodUnits. Dátum vagy dátum és idő NotAfter = 9/23/2014 10:31 AM

tipp:NotBefore és NotAfter csak RequestType=cert. A dátumelemző kísérletek területi szempontból érzékenyek. A hónapnevek használata egyértelmű lesz, és minden területi beállításban működnie kell.
PrivateKeyArchive A PrivateKeyArchive beállítás csak akkor működik, ha a megfelelő RequestType cmC-re van állítva, mert csak a CMS (CMC) kérelemformátumon keresztüli tanúsítványkezelési üzenetek teszik lehetővé a kérelmező titkos kulcsának biztonságos átvitelét a hitelesítésszolgáltatónak a kulcsarchiváláshoz. true | false PrivateKeyArchive = true
Titkosítási algoritmus A használandó titkosítási algoritmus. A lehetséges lehetőségek az operációs rendszer verziójától és a telepített titkosítási szolgáltatók készletétől függően változhatnak. Az elérhető algoritmusok listájának megtekintéséhez futtassa a következő parancsot: certutil -oid 2 | findstr pwszCNGAlgid. A megadott használt CSP-nek támogatnia kell a megadott szimmetrikus titkosítási algoritmust és -hosszt is. EncryptionAlgorithm = 3des
Titkosítás hossza A használandó titkosítási algoritmus hossza. A megadott EncryptionAlgorithm által megengedett bármely hossz. EncryptionLength = 128
Szolgáltatónév A szolgáltató neve a CSP megjelenítendő neve. Ha nem tudja a használt CSP szolgáltatónevét, futtassa a certutil –csplist parancssorból. A parancs megjeleníti a helyi rendszeren elérhető összes CSP nevét ProviderName = Microsoft RSA SChannel Cryptographic Provider
SzolgáltatóTípus A szolgáltató típusa adott szolgáltatók kiválasztására szolgál adott algoritmus-képességek, például az RSA Full alapján. Ha nem ismeri a használt CSP szolgáltatótípusát, futtassa a certutil –csplist parancssorból. A parancs megjeleníti a helyi rendszeren elérhető összes CSP szolgáltatótípusát. ProviderType = 1
Megújítási tanúsítvány Ha meg kell újítania egy tanúsítványt, amely azon a rendszeren található, ahol a tanúsítványkérelmet létrehozták, meg kell adnia a tanúsítvány kivonatát a kulcs értékeként. Minden olyan tanúsítvány tanúsítványkivonata, amely azon a számítógépen érhető el, amelyen a tanúsítványkérelmet létrehozták. Ha nem ismeri a tanúsítványkivonatot, használja a tanúsítványok MMC-Snap-In, és tekintse meg a megújítandó tanúsítványt. Nyissa meg a tanúsítvány tulajdonságait, és tekintse meg a tanúsítvány Thumbprint attribútumát. A tanúsítványmegújításhoz PKCS#7 vagy CMC kérelemformátum szükséges. RenewalCert = 4EDF274BD2919C6E9EC6A522F0F3B153E9B1582D
Kérelmező neve Egy másik felhasználói kérés nevében kéri a regisztrációt. A kérést regisztrációs ügynök tanúsítvánnyal is alá kell írni, vagy a hitelesítésszolgáltató elutasítja a kérést. A regisztrációs ügynök tanúsítványának megadásához használja a -cert lehetőséget. A kérelmező neve akkor adható meg a tanúsítványkérelmekhez, ha a RequestTypePKCS#7 vagy CMCvan beállítva. Ha a RequestTypePKCS#10értékre van állítva, a rendszer figyelmen kívül hagyja ezt a kulcsot. A Requestername csak a kérés részeként állítható be. Függőben lévő kérelemben nem módosíthatja a Requestername. Domain\User Requestername = Contoso\BSmith
KérelmiTípus Meghatározza a tanúsítványkérelem létrehozásához és elküldéséhez használt szabványt.
  • PKCS10 -- 1
  • PKCS7 -- 2
  • CMC -- 3
  • Cert -- 4
  • SCEP -- fd00 (64768)
tipp: Ez a beállítás önaláírt vagy önkibocsátott tanúsítványt jelöl. Nem kérést hoz létre, hanem egy új tanúsítványt, majd telepíti a tanúsítványt. Az önaláírt az alapértelmezett érték. Adjon meg aláírási tanúsítványt a –cert beállítással, hogy önaláírt tanúsítványt hozzon létre, amely nem önaláírt.		 RequestType = CMC
Biztonsági leíró A biztonságos objektumokhoz társított biztonsági információkat tartalmazza. A legtöbb biztonságos objektum esetében megadhatja az objektum biztonsági leíróját az objektumot létrehozó függvényhívásban. Sztringek biztonsági leíró definíciós nyelv.

tipp: Ez csak a nem intelligens kártyakulcsok gépi környezetében releváns.

 SecurityDescriptor = D:P(A;;GA;;;SY)(A;;GA;;;BA)
AlternateSignatureAlgorithm Olyan logikai értéket ad meg és kér le, amely jelzi, hogy a PKCS#10-kérés vagy tanúsítvány-aláírás aláírási algoritmus objektumazonosítója (OID) különálló vagy kombinált-e. true | false AlternateSignatureAlgorithm = false

RSA-aláírás esetén false egy Pkcs1 v1.5, míg truev2.1 aláírást jelöl.
Csendes Ez a beállítás alapértelmezés szerint lehetővé teszi, hogy a CSP hozzáférjen az interaktív felhasználó asztalához, és adatokat kérjen, például egy intelligens kártya PIN-kódját a felhasználótól. Ha ez a kulcs IGAZ értékre van állítva, a CSP nem használhatja az asztalt, és a rendszer letiltja a felhasználói felület megjelenítését a felhasználó számára. true | false Silent = true
SMIME Ha ez a paraméter IGAZ értékre van állítva, a kérelemhez hozzáad egy 1.2.840.113549.1.9.15 objektumazonosítójú bővítményt. Az objektumazonosítók száma a telepített operációsrendszer-verziótól és a CSP-képességtől függ, amely olyan szimmetrikus titkosítási algoritmusokra vonatkozik, amelyeket a Secure Multipurpose Internet Mail Extensions (S/MIME) alkalmazások, például az Outlook használhatnak. true | false SMIME = true
UseExistingKeySet Ezzel a paraméterrel adhatja meg, hogy egy meglévő kulcspár használható-e a tanúsítványkérelem létrehozásához. Ha ez a kulcs IGAZ értékre van állítva, meg kell adnia a RenewalCert kulcs vagy a KeyContainer nevét is. Nem szabad beállítania az exportálható kulcsot, mert egy meglévő kulcs tulajdonságait nem módosíthatja. Ebben az esetben a tanúsítványkérelem létrehozásakor nem jön létre kulcsanyag. true | false UseExistingKeySet = true
Kulcsvédelem Olyan értéket ad meg, amely azt jelzi, hogy a titkos kulcsok hogyan védve lesznek használat előtt.
  • XCN_NCRYPT_UI_NO_PROTCTION_FLAG -- 0
  • XCN_NCRYPT_UI_PROTECT_KEY_FLAG -- 1
  • XCN_NCRYPT_UI_FORCE_HIGH_PROTECTION_FLAG -- 2
 KeyProtection = NCRYPT_UI_FORCE_HIGH_PROTECTION_FLAG
SuppressDefaults Logikai értéket ad meg, amely jelzi, hogy az alapértelmezett bővítmények és attribútumok szerepelnek-e a kérelemben. Az alapértelmezett értékeket az objektumazonosítók (OID-k) jelölik. true | false SuppressDefaults = true
Barátságos név Az új tanúsítvány rövid neve. Szöveg FriendlyName = Server1
Érvényességi időszak mértékegységei A ValidityPeriod használatával használandó egységek száma. Megjegyzés: Ez csak akkor használatos, ha a request type=cert. Numerikus ValidityPeriodUnits = 3
Érvényességi időszak A ValidityPeriodnak amerikai angol többes számú időnek kell lennie. Megjegyzés: Ez csak akkor használatos, ha a kérelem típusa=tanúsítvány. Years | Months | Weeks | Days | Hours | Minutes | Seconds ValidityPeriod = Years

1paraméter az egyenlőségjel bal oldalán (=)

2paraméter az egyenlőségjel jobb oldalán (=)

[Bővítmények]

Ez a szakasz nem kötelező.

Bővítmény OID Definíció Példa
2.5.29.17 2.5.29.17 = {szöveg}
folytassa a continue = UPN=User@Domain.com&
folytassa a continue = EMail=User@Domain.com&
folytassa a continue = DNS=host.domain.com&
folytassa a continue = DirectoryName=CN=Name,DC=Domain,DC=com&
folytassa a continue = URL=<http://host.domain.com/default.html&>
folytassa a continue = IPAddress=10.0.0.1&
folytassa a continue = RegisteredId=1.2.3.4.5&
folytassa a continue = 1.2.3.4.6.1={utf8}String&
folytassa a continue = 1.2.3.4.6.2={octet}AAECAwQFBgc=&
folytassa a continue = 1.2.3.4.6.2={octet}{hex}00 01 02 03 04 05 06 07&
folytassa a continue = 1.2.3.4.6.3={asn}BAgAAQIDBAUGBw==&
folytassa a continue = 1.2.3.4.6.3={hex}04 08 00 01 02 03 04 05 06 07
2.5.29.37 2.5.29.37={text}
folytassa a continue = 1.3.6.1.5.5.7
folytassa a continue = 1.3.6.1.5.5.7.3.1
2.5.29.19 {text}ca=0pathlength=3
Kulcsfontosságú Critical=2.5.29.19
Kulcs
  • AT_NONE -- 0
  • AT_SIGNATURE -- 2
  • AT_KEYEXCHANGE -- 1
KérelmiTípus
  • PKCS10 -- 1
  • PKCS7 -- 2
  • CMC -- 3
  • Cert -- 4
  • SCEP -- fd00 (64768)
Kulcshasználat
  • CERT_DIGITAL_SIGNATURE_KEY_USAGE -- 80 (128)
  • CERT_NON_REPUDIATION_KEY_USAGE -- 40 (64)
  • CERT_KEY_ENCIPHERMENT_KEY_USAGE -- 20 (32)
  • CERT_DATA_ENCIPHERMENT_KEY_USAGE -- 10 (16)
  • CERT_KEY_AGREEMENT_KEY_USAGE -- 8
  • CERT_KEY_CERT_SIGN_KEY_USAGE -- 4
  • CERT_OFFLINE_CRL_SIGN_KEY_USAGE -- 2
  • CERT_CRL_SIGN_KEY_USAGE -- 2
  • CERT_ENCIPHER_ONLY_KEY_USAGE -- 1
  • CERT_DECIPHER_ONLY_KEY_USAGE -- 8000 (32768)
KeyUsageProperty
  • NCRYPT_ALLOW_DECRYPT_FLAG -- 1
  • NCRYPT_ALLOW_SIGNING_FLAG -- 2
  • NCRYPT_ALLOW_KEY_AGREEMENT_FLAG -- 4
  • NCRYPT_ALLOW_ALL_USAGES -- ffffff (16777215)
Kulcsvédelem
  • NCRYPT_UI_NO_PROTECTION_FLAG -- 0
  • NCRYPT_UI_PROTECT_KEY_FLAG -- 1
  • NCRYPT_UI_FORCE_HIGH_PROTECTION_FLAG -- 2
SubjectNameFlags sablon
  • CT_FLAG_SUBJECT_REQUIRE_COMMON_NAME -- 40000000 (1073741824)
  • CT_FLAG_SUBJECT_REQUIRE_DIRECTORY_PATH -- 80000000 (2147483648)
  • CT_FLAG_SUBJECT_REQUIRE_DNS_AS_CN -- 10000000 (268435456)
  • CT_FLAG_SUBJECT_REQUIRE_EMAIL -- 20000000 (536870912)
  • CT_FLAG_OLD_CERT_SUPPLIES_SUBJECT_AND_ALT_NAME -- 8
  • CT_FLAG_SUBJECT_ALT_REQUIRE_DIRECTORY_GUID -- 1000000 (16777216)
  • CT_FLAG_SUBJECT_ALT_REQUIRE_DNS -- 8000000 (134217728)
  • CT_FLAG_SUBJECT_ALT_REQUIRE_DOMAIN_DNS -- 400000 (4194304)
  • CT_FLAG_SUBJECT_ALT_REQUIRE_EMAIL -- 4000000 (67108864)
  • CT_FLAG_SUBJECT_ALT_REQUIRE_SPN -- 800000 (8388608)
  • CT_FLAG_SUBJECT_ALT_REQUIRE_UPN -- 2000000 (33554432)
X500Név zászlók
  • CERT_NAME_STR_NONE -- 0
  • CERT_OID_NAME_STR -- 2
  • CERT_X500_NAME_STR -- 3
  • CERT_NAME_STR_SEMICOLON_FLAG -- 40000000 (1073741824)
  • CERT_NAME_STR_NO_PLUS_FLAG -- 20000000 (536870912)
  • CERT_NAME_STR_NO_QUOTING_FLAG -- 10000000 (268435456)
  • CERT_NAME_STR_CRLF_FLAG -- 8000000 (134217728)
  • CERT_NAME_STR_COMMA_FLAG -- 4000000 (67108864)
  • CERT_NAME_STR_REVERSE_FLAG -- 2000000 (33554432)
  • CERT_NAME_STR_FORWARD_FLAG -- 1000000 (16777216)
  • CERT_NAME_STR_DISABLE_IE4_UTF8_FLAG -- 10000 (65536)
  • CERT_NAME_STR_ENABLE_T61_UNICODE_FLAG -- 20000 (131072)
  • CERT_NAME_STR_ENABLE_UTF8_UNICODE_FLAG -- 40000 (262144)
  • CERT_NAME_STR_FORCE_UTF8_DIR_STR_FLAG -- 80000 (524288)
  • CERT_NAME_STR_DISABLE_UTF8_DIR_STR_FLAG -- 100000 (1048576)
  • CERT_NAME_STR_ENABLE_PUNYCODE_FLAG -- 200000 (2097152)

Megjegyzés

SubjectNameFlags lehetővé teszi, hogy az INF-fájl megadja, hogy melyik Subject és SubjectAltName bővítménymezőket a certreq automatikusan kitöltse az aktuális felhasználó- vagy géptulajdonságok alapján: DNS-név, UPN stb. A konstans sablon használata azt jelenti, hogy a sablonnévjelzőket használja a rendszer. Ez lehetővé teszi, hogy egyetlen INF-fájl több környezetben is használható legyen a környezetspecifikus tárgyadatokkal rendelkező kérések létrehozásához.

X500NameFlags megadja azokat a jelölőket, amelyeket közvetlenül CertStrToName API-nak ad át, amikor a Subject INF keys értéket ASN.1 kódolt megkülönböztető névalakítják át.

Példa

Házirendfájl (.inf) létrehozása a Jegyzettömbben, és mentés requestconfig.inf:

[NewRequest]
Subject = CN=<FQDN of computer you are creating the certificate>
Exportable = TRUE
KeyLength = 2048
KeySpec = 1
KeyUsage = 0xf0
MachineKeySet = TRUE
[RequestAttributes]
CertificateTemplate=WebServer
[Extensions]
OID = 1.3.6.1.5.5.7.3.1
OID = 1.3.6.1.5.5.7.3.2

Azon a számítógépen, amelyhez tanúsítványt kér:

certreq –new requestconfig.inf certrequest.req

A [Sztringek] szakasz OID-k és más nehezen értelmezhető adatok szintaxisának használatához. Az EKU-bővítmény új {text} szintaxisa, amely az OID-k vesszővel tagolt listáját használja:

[Version]
Signature=$Windows NT$

[Strings]
szOID_ENHANCED_KEY_USAGE = 2.5.29.37
szOID_PKIX_KP_SERVER_AUTH = 1.3.6.1.5.5.7.3.1
szOID_PKIX_KP_CLIENT_AUTH = 1.3.6.1.5.5.7.3.2

[NewRequest]
Subject = CN=TestSelfSignedCert
Requesttype = Cert

[Extensions]
%szOID_ENHANCED_KEY_USAGE%={text}%szOID_PKIX_KP_SERVER_AUTH%,
_continue_ = %szOID_PKIX_KP_CLIENT_AUTH%

Ha meg szeretne adni egy másodlagos tulajdonosnevet (SAN), adja hozzá az INF [Bővítmények] szakaszához. Például:

[Version]
Signature=$Windows NT$
 
[Strings]
szOID_ENHANCED_KEY_USAGE = 2.5.29.37
szOID_PKIX_KP_SERVER_AUTH = 1.3.6.1.5.5.7.3.1
szOID_PKIX_KP_CLIENT_AUTH = 1.3.6.1.5.5.7.3.2

[NewRequest]
Subject = CN=TestSelfSignedCert
Requesttype = Cert

[Extensions]
2.5.29.17 = "{text}"
_continue_ = "DNS=example.com"
_continue_ = "DNS=www.example.com"
_continue_ = "IP Address=192.168.1.1"

Ebben a példában 2.5.29.17 a SAN-t meghatározó OID. Több SAN megadásához a _continue_ bővítmény OID-t használja, amely lehetővé teszi az egyes SAN-bővítmények elkülönítését és megadását.

certreq -accept

A –accept paraméter összekapcsolja a korábban létrehozott titkos kulcsot a kiadott tanúsítvánnyal, és eltávolítja a függőben lévő tanúsítványkérelmet abból a rendszerből, amelyben a tanúsítványt kérik (ha van egyező kérés).

Tanúsítvány manuális elfogadása:

certreq -accept certnew.cer

Figyelmeztetés

A -accept paraméter használata a -user és –machine beállításokkal azt jelzi, hogy a telepítési tanúsítványt felhasználói vagy környezetben kell-e telepíteni. Ha bármelyik környezetben van egy függőben lévő kérés, amely megfelel a telepített nyilvános kulcsnak, akkor ezekre a beállításokra nincs szükség. Ha nincs függőben lévő kérés, akkor az egyiket meg kell adni.

certreq -policy

A policy.inf fájl egy konfigurációs fájl, amely meghatározza a hitelesítésszolgáltatói tanúsítványra alkalmazott korlátozásokat a minősített alárendelés definiálásakor.

Tanúsítványközi kérés létrehozása:

certreq -policy certsrv.req policy.inf newcertsrv.req

Ha certreq -policy más paraméter nélkül használ, megnyit egy párbeszédpanelablakot, amely lehetővé teszi a kért fájl (.req, .cmc, .txt, .der, .cer vagy .crt) kiválasztását. Miután kiválasztotta a kért fájlt, és a Megnyitásgombra kattintott, megnyílik egy másik párbeszédpanel, amely lehetővé teszi a policy.inf fájl kiválasztását.

Példák

Talál egy példát a policy.inf fájlra a CAPolicy.inf Szintaxis.

certreq -sign

Új tanúsítványkérelem létrehozásához írja alá és küldje el:

certreq -new policyfile.inf myrequest.req
certreq -sign myrequest.req myrequest.req
certreq -submit myrequest_sign.req myrequest_cert.cer

Megjegyzések

  • Ha certreq -sign más paraméter nélkül, megnyílik egy párbeszédpanel, amelyen kiválaszthatja a kért fájlt (req, cmc, txt, der, cer vagy crt).

  • A minősített alárendelési kérelem aláírásához vállalati rendszergazdai hitelesítő adatokra lehet szükség. Ez az ajánlott eljárás a minősített alárendeléshez tartozó aláíró tanúsítványok kiállításához.

  • A minősített alárendelési kérelem aláírásához használt tanúsítvány a minősített alárendelési sablont használja. A vállalati rendszergazdáknak alá kell írniuk a kérést, vagy felhasználói engedélyeket kell adniuk a tanúsítványt aláíró személyeknek.

  • Előfordulhat, hogy további személyzetnek kell aláírnia a CMC-kérést ön után. Ez a minősített alárendeléshez társított megbízhatósági szinttől függ.

  • Ha a telepített minősített alárendelt hitelesítésszolgáltató szülő ca-jának kapcsolat nélküli állapotú, akkor az offline szülőtől be kell szereznie a minősített alárendelt hitelesítésszolgáltató hitelesítésszolgáltatói tanúsítványát. Ha a szülő hitelesítésszolgáltató online állapotban van, adja meg a minősített alárendelt hitelesítésszolgáltató hitelesítésszolgáltatói tanúsítványát a Tanúsítványszolgáltatások telepítési varázsló során.

certreq -enroll

Ezzel a megjegyzésel regisztrálhatja vagy megújíthatja tanúsítványait.

Példák

Tanúsítvány regisztrálásához használja a WebServer sablont, és válassza ki a házirend-kiszolgálót az U/I használatával:

certreq -enroll –machine –policyserver * WebServer

Tanúsítvány megújítása sorozatszámmal:

certreq –enroll -machine –cert 61 2d 3c fe 00 00 00 00 00 05 renew

Csak érvényes tanúsítványokat újíthat meg. A lejárt tanúsítványok nem újíthatók meg, és új tanúsítványra kell cserélni.

Beállítások

Beállítások Leírás
-bármely Force ICertRequest::Submit a kódolás típusának meghatározásához.
-Attrib <attributestring> Megadja a Név és Érték sztringpárokat, kettősponttal elválasztva.

Különítse el Név és Érték sztringpárokat \n használatával (például Név1:érték1\nNév2:érték2).
-bináris A kimeneti fájlokat binárisként formázhatja a base64 kódolású helyett.
-házirend szerver <policyserver> LDAP: <path>
Szúrja be a Tanúsítványregisztrációs szabályzat webszolgáltatást futtató számítógép URI-ját vagy egyedi azonosítóját.

Ha meg szeretné adni, hogy böngészéssel szeretne kérelemfájlt használni, csak használjon mínuszjelet (-) a <policyserver>.
-konfiguráció <ConfigString> A műveletet a konfigurációs sztringben megadott hitelesítésszolgáltató használatával dolgozza fel, amely CAHostName\CAName. Https:\\ kapcsolat esetén adja meg a regisztrációs kiszolgáló URI-jának megadását. A helyi géptároló hitelesítésszolgáltatójához használjon mínusz (-) jelet.
-névtelen Névtelen hitelesítő adatok használata a tanúsítványregisztráció webszolgáltatásaihoz.
-kerberos Kerberos (tartomány) hitelesítő adatokat használjon a tanúsítványregisztráció webszolgáltatásaihoz.
-ügyféltanúsítvány <ClientCertId> A <ClientCertId> lecserélheti a tanúsítvány ujjlenyomatára, a CN-re, az EKU-ra, a sablonra, az e-mailre, az UPN-re vagy az új name=value szintaxisra.
-felhasználónév <username> Tanúsítványregisztráció webszolgáltatásokkal használható. A <username> a SAM névvel vagy tartomány\felhasználó értékkel helyettesítheti. Ez a beállítás a -p beállítással használható.
-p <password> Tanúsítványregisztráció webszolgáltatásokkal használható. Cserélje le a <password> a tényleges felhasználó jelszavával. Ez a beállítás a -username beállítással használható.
-felhasználó Konfigurálja egy új tanúsítványkérelem -user környezetét, vagy megadja a tanúsítvány elfogadásának környezetét. Ez az alapértelmezett környezet, ha nincs megadva az INF-ben vagy a sablonban.
-gép Konfigurál egy új tanúsítványkérelemet, vagy megadja a számítógépkörnyezet tanúsítványelfogadási környezetét. Új kérések esetén konzisztensnek kell lennie a MachineKeyset INF-kulccsal és a sablonkörnyezettel. Ha ez a beállítás nincs megadva, és a sablon nem állít be környezetet, akkor az alapértelmezett a felhasználói környezet.
-Crl Tartalmazza a visszavont tanúsítványok listáját (CRLs) a kimenetben a certchainfileout által megadott base64 kódolású PKCS #7 fájlba vagy a requestfileoutáltal megadott base64 kódolású fájlba.
-Rpc Utasítja az Active Directory Tanúsítványszolgáltatások (AD CS) szolgáltatást, hogy az elosztott COM helyett használjon távoli eljáráshívási (RPC-) kiszolgálókapcsolatot.
-adminforcemachine Használja a kulcsszolgáltatást vagy a megszemélyesítést a kérés helyi rendszerkörnyezetből való elküldéséhez. Megköveteli, hogy a beállítást megvevő felhasználó tagja legyen a helyi rendszergazdáknak.
-megújítás nevében Küldjön megújítást az aláíró tanúsítványban azonosított tulajdonos nevében. Ez CR_IN_ROBO állít be ICertRequest::Submit metódus
-f Meglévő fájlok felülírására kényszeríthető. Ez a gyorsítótárazási sablonokat és szabályzatokat is átadja.
-q Csendes mód használata; az összes interaktív kérést letiltja.
-unicode Unicode-kimenetet ír, amikor a standard kimenetet átirányítják vagy egy másik parancsra irányítják, ami segít a Windows PowerShell-szkriptekből való meghívásban.
-unicodetext Unicode-kimenetet küld a base64-es szöveges kódolt adatblobok fájlokba írásakor.

Formátumok

Formátumok Leírás
requestfilein Base64 kódolású vagy bináris bemeneti fájl neve: PKCS #10 tanúsítványkérés, CMS-tanúsítványkérelem, PKCS #7 tanúsítványmegújítási kérelem, kereszttanúsítandó X.509-tanúsítvány vagy KeyGen címkeformátumú tanúsítványkérés.
requestfileout Base64 kódolású kimeneti fájl neve.
certfileout Base64 kódolású X-509 fájlnév.
PKCS10fileout Csak a certreq -policy paraméterrel használható. Base64 kódolású PKCS10 kimeneti fájl neve.
certchainfileout Base64 kódolású PKCS #7 fájlnév.
fullresponsefileout Base64 kódolású teljes válaszfájl neve.
Házirendfájlban Csak a certreq -policy paraméterrel használható. A kérelem minősítéséhez használt bővítmények szöveges ábrázolását tartalmazó INF-fájl.

További források

Az alábbi cikkek példákat tartalmaznak a tanúsítványhasználatra: