对于我们的点到站点 VPN,我们想要创建一个根证书。 因此,我们可以为所有需要登录我们的 VPN 的合作伙伴创建任意数量的客户端证书。 (Azure虚拟网络)
手动执行此操作效果完美。我们生成一个充当根 ca 的证书(自签名)。我们可以在 powershell 中执行此操作,如下所示:
$cert = New-SelfSignedCertificate -Type Custom -KeySpec Signature -Subject "CN=Kratos Point To Site VPN Root Certificate Win10" -KeyExportPolicy Exportable -HashAlgorithm sha256 -KeyLength 2048 -CertStoreLocation "Cert:\CurrentUser\My" -KeyUsageProperty Sign -KeyUsage CertSign
$clientCert = New-SelfSignedCertificate -Type Custom -KeySpec Signature -Subject "CN=Digicreate Point To Site VPN Client Certificate Win10" -KeyExportPolicy Exportable -HashAlgorithm sha256 -KeyLength 2048 -CertStoreLocation "Cert:\CurrentUser\My" -Signer $cert -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.2")
但是,我们更喜欢使用 key 保管库进行证书管理。这个想法是使用以下命令直接在 key 保管库中创建证书: Add-AzureKeyVaultCertificate(私钥不可导出)
创建根证书工作正常。但我无法找到如何使用 key 保管库中的“签名”操作来签署新证书。
您有关于如何执行此操作的示例吗?
最佳答案
请参阅 https://blogs.technet.microsoft.com/kv/2016/09/26/get-started-with-azure-key-vault-certificates/ 中的“手动创建证书并由 CA 签名”部分
关于azure - 使用 key 保管库生成客户端证书,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/45551007/