1
我想知道哪些私鑰未標記爲epxortable的證書的用途是什麼。我發現,在從Internet Explorer向證書服務器發送證書請求時,它提供了將密鑰標記爲不可導出的選項。使用帶有私鑰的證書未標記爲可導出
A
回答
2
這不是一個常見的使用場景,當創建證書請求時創建不可導出的私鑰除非此密鑰直接轉到硬件(USB令牌等)。但是,例如,當在公司環境中創建機器綁定證書時就是可能的。在這種情況下,最好將證書標記爲不可導出 - 如果機器不存在,您可以爲新機器頒發新證書並阻止(撤消)前一個證書。
當您使用私鑰導入現有證書時使用通常不可導出的密鑰 - 爲安全原因設置了不可導出標記。
相關問題
- 1. 帶有可導出私鑰的證書的「Bad key」例外
- 2. CryptoApi:導出沒有私鑰的證書?
- 3. 出口證書 - 帶或不帶私鑰
- 4. 導出/導入證書,私鑰在Iphone
- 5. 導出X.509證書無私鑰
- 6. 使用Windows上的私鑰導出SSL證書
- 7. KeyVault生成的證書與可導出私鑰
- 8. 使用私有密鑰(包括使用powershell的路徑中的所有證書)導出證書
- 9. 證書的私鑰作爲不同的值導出?
- 10. 使用私鑰導入證書時出錯
- 11. 生成帶有pem證書和.key私鑰的pkcs12密鑰庫?
- 12. 使用SSL證書,私有密鑰和證書SSLCertificateChain
- 13. 現有的IOS證書沒有私鑰
- 14. 帶有express的socket.io中的SSL:缺少PFX或證書+私鑰。
- 15. 從OpenSSL的Windows證書存儲使用證書和私鑰
- 16. c#X509Certificate2添加證書如何標記爲可導出
- 17. 將BouncyCastle X509證書+私鑰(RSA)導入Windows證書存儲
- 18. X509Certificate2有私鑰不可導出?
- 19. OpenSSL的:沒有證書相匹配的私鑰/鏈式證書
- 20. 分配證書和私鑰
- 21. SSL證書和私鑰(RSA)
- 22. 證書私鑰缺失XCODE
- 23. 錯誤證書和私鑰
- 24. 發放iPhone證書私鑰?
- 25. WCF錯誤:'很可能證書'我的證書'可能沒有可以進行密鑰交換的私鑰
- 26. 如何從GoDaddy的證書導出私鑰,並與Apache SSL使用
- 27. ADFS導出默認令牌簽名證書私鑰
- 28. 添加私鑰到X509證書,然後導出到p12在c#
- 29. 「無法找到解密的證書和私鑰」證書pfx pkcs#12私鑰
- 30. 從證書獲取公鑰/私鑰
如果密鑰可導出,您是否可以列出一些威脅?另外,Internet Explorer如何使用這種私鑰? – doptimusprime 2013-02-14 03:35:20
CryptoAPI允許您使用這些密鑰執行簽名和解密 - 當然,操作系統可以訪問密鑰。威脅是鑰匙可能被盜。 – 2013-02-14 06:57:19
感謝您的澄清。這是我在看到諸如CryptSignMessage之類的函數後猜測的,它允許您在不提供證書的加密提供程序的情況下輸出密鑰的情況下籤署消息。在Internet Explorer中,使用WinSock和Crypt32實現SSL/TLS(這是我猜測的)。在相互SSL握手中,它只需要使用CryptoAPI簽名它可以執行的數據,這就是爲什麼即使將密鑰標記爲不可導出也會使用證書的原因。請糾正我,如果我錯了,請確認。 – doptimusprime 2013-02-14 12:49:33