使用本机 Microsoft 工具请求帕洛阿尔托网络防火墙的证书

microsoft 提供了一个工具, certreq.exe 与它的证书服务器一起创建并向 Microsoft 证书服务器提交证书签名请求 (CSR)。这些工具可用于替代使用 Microsoft CA 的环境的 openssl。这些命令可以从任何域成员系统中使用。

1. Certreq 需要一个. inf 文件来提供证书信息。使用记事本根据您的需要修改下面的示例 INF 文件。将文件另存为 ssl. inf, 例如:

   版本

   签名 = "$Windows 新台币"

   [NewRequest]

   主题 = "CN = 您的. 服务器名称";对于通配符使用 "CN = *"。DOMAIN.COM "例如

   ;对于空主题, 请改用以下行或删除主题行 entierely

   ;主题 =

   可导出 = TRUE ;私钥是可导出的!

   KeyLength = 2048 ;常用密钥大小: 512、1024、2048 、

   4096, 8192, 16384

   KeySpec = 1 ;AT_KEYEXCHANGE

   KeyUsage = 0xA0 ;数字签名, 密钥加密

   MachineKeySet = True ;该密钥属于本地计算机帐户

   ProviderName = "Microsoft RSA SChannel 加密提供程序"

   ProviderType = 12

   SMIME = FALSE

   RequestType = CMC

    

   ;至少 certreq.exe 与 Windows Vista/服务器2008航运需要

   解释下面的 [字符串] 和 [扩展] 部分

    

   字符串

   szOID_SUBJECT_ALT_NAME2 = "2.5.29.17"

   szOID_ENHANCED_KEY_USAGE = "2.5.29.37"

   szOID_PKIX_KP_SERVER_AUTH = "1.3. 6.1. 5.5. 7.3. 1"

   szOID_PKIX_KP_CLIENT_AUTH = "1.3. 6.1. 5.5. 7.3. 2"

    

   扩展

   % szOID_SUBJECT_ALT_NAME2% = "{文本} dns = 您的. 计算机. 名称"%szOID_ENHANCED_KEY_USAGE% = "{文本}%szOID_PKIX_KP_SERVER_AUTH%%szOID_PKIX_KP_CLIENT_AUTH%"

    

   [RequestAttributes]

   CertificateTemplate = 服务器;或 = 用于 SSL D 或 CA 证书的 SubCA

   注意:

   • 如果客户端没有对模板的访问权限, 则可以单击 "确定" 以从 certreq 中找不到模板的 UI。
   • 在显示时, 可以忽略未引用的 "[字符串]" 部分对话框。
2. 将 INF 文件编译为一个申请文件。

   下面的 command‐line 命令生成密钥材料, 并将 INF 文件转变为证书请求。

   certreq –new ssl. inf ssl。

   创建证书申请后, 您可以使用以下命令验证请求:

   certutil ssl。

3. 将申请文件提交给 CA。

   如果通过网络通过 RPC 可以访问 ca, 请使用以下命令将证书请求提交给 ca:

   certreq –submit ssl。

   您将得到一个选择对话框, 从中选择 CA。如果 ca 配置为基于模板设置颁发证书, 则 ca 可能会立即颁发证书。系统将提示您下载该文件并命名它。在此示例中, 我们将命名为 ssl. cer

   如果在创建证书请求的计算机和 ca 之间不允许 RPC 通信, 请将证书申请转移到 ca, 并在 ca 本地执行上述命令。

4. 在本地浏览器中安装证书。

   颁发证书并作为文件可用后, 请使用以下命令进行安装。

   certreq –accept ssl. cer

   安装实际上将证书放入计算机的个人存储中, 并将其与步骤1中创建的密钥材料链接, 并生成证书属性。证书属性存储的信息 (如友好名称) 不属于证书的一部分。

    

   执行步骤1到4后, 证书将显示在 IE 证书界面中, 并且可以以 PKCS 12 格式导出, 以便导入到防火墙中。

所有者: npiagentini