Come viene trasferita una chiave privata del certificato durante l'importazione / esportazione?

0

Sono abbastanza nuovo per i certificati in generale e ho configurato la mia CA autonoma per scopi di test. Ho notato alcuni comportamenti interessanti delle chiavi private che sto cercando di trovare della documentazione.

Nella console dell'autorità di certificazione (certsvr / Windows Server)

  • Se creo una richiesta di certificato che contrassegna il mio certificato come esportabile, lo invii, lo approvi e poi lo esporti nell'autorità di certificazione (esporta come binario), sono in grado di esportarlo con la chiave privata. Tuttavia, posso farlo solo una volta. La prossima volta che ci provo di nuovo, la chiave privata non è più lì. È corretto? La chiave privata è sempre inclusa solo alla prima esportazione?

  • Quando si importa un certificato con una chiave privata, sia che si usi certutil o lo snap-in mmc, a volte noto che il file da cui sono stato esportato non è più valido. Quindi, per assicurarmi di non perdere la chiave nel file, creo sempre una copia prima.

Sembra che continui a perdere la chiave privata. Ho spesso salvato file (.pfx) e li ho importati, ho cancellato il certificato nel mio negozio solo per scoprire che lo stesso file non ha più una chiave privata quando ho provato a importarlo di nuovo. Per ora va bene, dato che sto usando questo per i test, ma se qualcuno ha una comprensione dettagliata di come funziona, sarebbe fantastico.

    
posta MichaelChan 06.01.2016 - 01:43
fonte

2 risposte

0

Uno dei dettagli importanti che ho scoperto sull'esportazione e sull'importazione di chiavi private da uno scenario dell'autorità di certificazione di Windows Server è che è importante che la richiesta di certificato venga eseguita sulla stessa macchina in cui verrà importata la richiesta. Questo è il motivo per cui in alcuni casi, dopo aver importato il certificato, la chiave privata non è presente. Questo è comune poiché stavo giocando con un server autonomo.

link

Ho trovato qualche documentazione riguardante l'archiviazione e il recupero delle chiavi, ma è rilevante solo se si sta utilizzando una CA aziendale.

link

    
risposta data 08.02.2016 - 06:10
fonte
0

Is the private key always included only on the first export?

No. A meno che tu abbia selezionato l'opzione Delete the private key if the export is successful alla prima esportazione.

(export as binary)

Che cosa intendi? Vuoi dire che hai selezionato l'opzione chiamata DER encoded binary X.509 (.CER) ? Windows esporta solo le chiavi private in file di tipo .PFX .

file I exported from is no longer valid.

Sembra terribile. Ed è diverso da qualsiasi cosa abbia mai sentito prima. Sei sicuro? Puoi assicurarti confrontando i file con un'utilità di checksum ?

    
risposta data 07.06.2016 - 15:31
fonte

Leggi altre domande sui tag