CertUtil 导入 pfx 失败:NTE_NOT_SUPPORTED
CertUtil Import pfx failed: NTE_NOT_SUPPORTED
我正在尝试在现有证书上设置 KeySpec 标志以用于 SQL 服务器加密角色。当前 KeySpec 为 0,我需要它为 1。
执行此操作的方法是首先将证书、其私钥和密钥用法导出到 .pfx 文件中(使用密码,无论它声称什么)。然后,利用 certutil,运行 certutil -importpfx AT_KEYEXCHANGE.
这个 "works" 因为它提示输入密码(输入正确),但失败并显示此错误消息:
CertUtil:-importPFX 命令失败:0x80090029 (-2146893783 NTE_NOT_SUPPORTED)
CertUtil: 不支持请求的操作。
不幸的是,我在网上找不到太多东西 - 只有这个 post 显然:
https://anotherexchangeblog.wordpress.com/tag/importpfx-command-failed-0x80090029/
这似乎表明这是位于 C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys 的目录的权限问题。具体来说,"SYSTEM" 拥有它的权限,他删除了它并让 certutil 工作。但是,我的那个目录的副本没有权限的 SYSTEM - 它看起来和他的照片一样。
没有更多的内容可以继续,而且这种 certutil 导入方法似乎是将 KeySpec 设置为 1 的唯一方法。我可以从这里做些什么来允许我使用正确的 KeySpec 标志导入该密钥?
我在使用 Template = (No Template) CNG Key 生成私钥后遇到了这个问题
要从 CNG 密钥转换回旧密钥,您可以使用 OpenSSL (https://www.google.com/search?q=Download+windows+OpenSSL) 重新编码证书
将您当前的证书导出到无密码 pem
openssl pkcs12 -in mycert.pfx -out tmpmycert.pem -nodes
使用密码将 pem 文件转换为新的 pfx 文件:
openssl pkcs12 -export -out mycert2.pfx -in tmpmycert.pem
您可以通过使用 Template = (No Template) Legacy Key 生成 CSR 来避免此问题
祝你好运!
我在微软工作。我的客户今天收到了这个,我们无法修复。我们最终制作了一份新的 CSR。
这是解释关键规范如何工作以及 CNG 与传统加密服务提供商的主要文章。
您可以转到您的 MMC 管理单元获取证书。右键单击个人商店 -> 所有任务 -> 高级操作 -> 创建自定义请求。
在没有注册策略的情况下继续 -> select 旧模板 -> PKCS #10 -> 下一步 -> 详细信息 -> 属性
输入友好名称 -> 添加通用名称 -> 为您需要的任何 SAN 添加 DNS 名称 -> 在扩展密钥使用上 select 服务器和客户端身份验证 -> 在私钥选项卡上 -> select Microsoft Strong Cryptographic Provider -> 对于您想要的密钥选项 2048 -> 使私钥可导出 -> 密钥类型选项卡 -> select Exchange
这将生成一个 (CSR) 证书签名请求,然后让您的授权证书完整填写它。
可以通过指定 -csp 参数使 certutil import 使用旧的强加密提供程序。
certutil -csp "Microsoft Strong Cryptographic Provider" -importpfx -f -enterprise my mycert.pfx AT_KEYEXCHANGE
我正在尝试在现有证书上设置 KeySpec 标志以用于 SQL 服务器加密角色。当前 KeySpec 为 0,我需要它为 1。
执行此操作的方法是首先将证书、其私钥和密钥用法导出到 .pfx 文件中(使用密码,无论它声称什么)。然后,利用 certutil,运行 certutil -importpfx AT_KEYEXCHANGE.
这个 "works" 因为它提示输入密码(输入正确),但失败并显示此错误消息:
CertUtil:-importPFX 命令失败:0x80090029 (-2146893783 NTE_NOT_SUPPORTED) CertUtil: 不支持请求的操作。
不幸的是,我在网上找不到太多东西 - 只有这个 post 显然:
https://anotherexchangeblog.wordpress.com/tag/importpfx-command-failed-0x80090029/
这似乎表明这是位于 C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys 的目录的权限问题。具体来说,"SYSTEM" 拥有它的权限,他删除了它并让 certutil 工作。但是,我的那个目录的副本没有权限的 SYSTEM - 它看起来和他的照片一样。
没有更多的内容可以继续,而且这种 certutil 导入方法似乎是将 KeySpec 设置为 1 的唯一方法。我可以从这里做些什么来允许我使用正确的 KeySpec 标志导入该密钥?
我在使用 Template = (No Template) CNG Key 生成私钥后遇到了这个问题
要从 CNG 密钥转换回旧密钥,您可以使用 OpenSSL (https://www.google.com/search?q=Download+windows+OpenSSL) 重新编码证书
将您当前的证书导出到无密码 pem
openssl pkcs12 -in mycert.pfx -out tmpmycert.pem -nodes使用密码将 pem 文件转换为新的 pfx 文件:
openssl pkcs12 -export -out mycert2.pfx -in tmpmycert.pem
您可以通过使用 Template = (No Template) Legacy Key 生成 CSR 来避免此问题
祝你好运!
我在微软工作。我的客户今天收到了这个,我们无法修复。我们最终制作了一份新的 CSR。
这是解释关键规范如何工作以及 CNG 与传统加密服务提供商的主要文章。
您可以转到您的 MMC 管理单元获取证书。右键单击个人商店 -> 所有任务 -> 高级操作 -> 创建自定义请求。
在没有注册策略的情况下继续 -> select 旧模板 -> PKCS #10 -> 下一步 -> 详细信息 -> 属性
输入友好名称 -> 添加通用名称 -> 为您需要的任何 SAN 添加 DNS 名称 -> 在扩展密钥使用上 select 服务器和客户端身份验证 -> 在私钥选项卡上 -> select Microsoft Strong Cryptographic Provider -> 对于您想要的密钥选项 2048 -> 使私钥可导出 -> 密钥类型选项卡 -> select Exchange
这将生成一个 (CSR) 证书签名请求,然后让您的授权证书完整填写它。
可以通过指定 -csp 参数使 certutil import 使用旧的强加密提供程序。
certutil -csp "Microsoft Strong Cryptographic Provider" -importpfx -f -enterprise my mycert.pfx AT_KEYEXCHANGE