使用现有的根证书颁发机构签署证书

Question

我正在尝试为 SQL Server Reporting Services 的不同主机名（别名）设置一些证书，以便我可以保护自己计算机上的连接以进行测试。我的理解是这些证书需要由受信任的根证书颁发机构签名（解释为here）。经过一番研究，我发现了很多有用的信息，一般可以通过this post进行总结；我找到的信息告诉我如何使用 Powershells New-SelfSignedCertificate cmdlet 创建新证书。

所以现在我知道如何创建一个新的根 CA，并且我知道如何为给定的主机名创建一个 SSL 证书，该证书由新的根 CA 签名。但是，我找不到任何解释如何重用现有根 CA 的地方。我希望代码像这样工作：

$rootCA = <# What goes here? #>
$TestSigned = New-SelfSignedCertificate -subjectName "CN=TestSignedByRoot" -Signer $rootCA

我是否应该在每次要创建证书时都创建一个新的根 CA？这看起来很疯狂，所以我当然希望不是这样。如果有人能提供一些解释和示例代码，将不胜感激。

Answer 1

您在这里遗漏了一个关键词：受信任。不仅是您，而是任何试图验证证书有效性的计算机。大多数公司将拥有能够在内部颁发证书的 PKI 解决方案，并将通过 GPO 将根 CA 的证书推送到本地计算机证书存储的 Trusted Roots 文件夹中。根 CA 应该是已经建立的，并且受到将连接到 SQL 服务器的计算机的信任。我建议您联系您的 IT 或安全部门，询问该公司是否有可让您签署证书的可信根 CA，或者他们是否可以向您颁发链接到可信根的证书。

编辑：好的，我没抓住重点。我的理解是“我的机器”是您支持的 SQL 服务器与其他连接到它的计算机。如果您唯一关心的是您自己的计算机，那么这归结为：

1. 创建证书签名证书（证书 A）
2. 将证书 A 添加到 LocalMachine 的 Trusted Root 文件夹 证书存储
3. 创建自签名证书（证书 B） 使用证书 A 作为签名证书

完成第 1 步和第 2 步后，您可以根据需要多次重复第 3 步来制作其他证书。您应该只需要 1 个根证书。重要的部分是根证书受到“客户端”的信任，因此当它连接到 SQL 报告服务并看到证书时，它可以与发起该链的根证书建立信任链。

Answer 2

从具有已知哈希的证书存储中获取证书：

$rootCa = ( Get-ChildItem -Path cert:\LocalMachine\My\EEDEF61D4FF6EDBAAD538BB08CCAADDC3EE28FF )

要查看我的商店中有哪些证书：

Get-ChildItem -Path cert:\LocalMachine\My

要按主题名称获取证书，请使用Where-Object 检查主题属性：

$rootCa = Get-ChildItem -Path cert:\LocalMachine\My | Where-Object {$_.Subject -eq "CN=My Awesome Root CA"}

Answer 3

要使用现有的受信任证书，您需要在个人证书文件夹 (cert:\LocalMachine\My) 中提供受信任证书的副本。我使用了 CertMgr。否则，当您最终运行命令来创建自签名证书时，您会收到错误

New-SelfSignedCertificate：CertEnroll::CSignerCertificate::Initialize：找不到对象或属性。 0x80092004 (-2146885628 CRYPT_E_NOT_FOUND)