New-SelfSignedCertificate sur Win2012 r2 a moins de paramètres

Je suis en train de créer un certificat auto-signé avec le chiffrement spécifique des valeurs de paramètre.

Sur un Win Server 2012 r2 standard exécution de PowerShell 5.0, lorsque je tente de l'utiliser

New-SelfSignedCertificate

J'ai un message d'erreur:

Nouvelle-SelfSignedCertificate : Un paramètre ne peut pas être trouvée, qui correspond paramètre nom de "Sujet".

lorsque je tente d'utiliser le -Subject paramètre, qui, en plus d'autres paramètres autorisés sur mon ordinateur portable, n'apparaît pas dans l'intellisense.

Cependant sur mon ordinateur portable (Win 10 et PowerShell 5.0) je suis autorisé à utiliser ces paramètres, et j'ai créer un certificat auto-signé en utilisant le code suivant

#create a Certificate
# OID for document encryption
    $Oid = New-Object System.Security.Cryptography.Oid "1.3.6.1.4.1.311.80.1"
    $oidCollection = New-Object System.Security.Cryptography.OidCollection
    $oidCollection.Add($oid) > $Null
# Create enhanced key usage extension that allows document encryption
$Ext = New-Object System.Security.Cryptography.X509Certificates.X509EnhancedKeyUsageExtension $oidCollection, $true 

$myCert = New-SelfSignedCertificate -Subject 'CN=myservernameasubject' -CertStoreLocation "Cert:\LocalMachine\My" -KeySpec KeyExchange -KeyUsage KeyEncipherment, DataEncipherment -Extension $Ext

OriginalL'auteur Samer s Salib | 2016-03-10

  1. 12

    Utilisation -DnsName à la place, sans CN=.

    De l'aide de PowerShell:

    -DnsName <String>
    Spécifie un ou plusieurs noms DNS à mettre dans l'autre Nom de l'Objet de l'extension du certificat lors de la remise d'un certificat
    copié n'est pas spécifié par l'CloneCert paramètre. La première DNS
    le nom est également enregistré en tant que Nom du Sujet et le Nom d'Émetteur.

    L'-KeySpec et d'autres options sont, malheureusement, pas pris en charge par New-SelfSignedCertificate dans Windows Server 2012 R2 et Windows 8.1. Sinon, vous êtes à la recherche à l'une des trois options pour générer le certificat désiré; Adapter l'objet COM code dans la réponse à la Comment créer un certificat auto-signé à l'aide de C#? à utiliser dans PowerShell, utiliser un exécutable externe comme makecert.exe ou de générer la paire clé/certificat d'ailleurs, et puis les importer dans le magasin de certificats sur l'autre machine.

    Mise à jour: Après de plus amples recherches, il ressemble à s'adapter COM code dans PowerShell est une bonne option. J'ai trouvé une entrée de blog par Vishal Agarwal, Générer un certificat auto-signé) à l'aide de powershell et interfaces CertEnroll, qui donne le PowerShell suivante de code:

    $name = new-object -com "X509Enrollment.CX500DistinguishedName.1"
$name.Encode("CN=TestServer", 0)

$key = new-object -com "X509Enrollment.CX509PrivateKey.1"
$key.ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
$key.KeySpec = 1
$key.Length = 1024
$key.SecurityDescriptor = "D:PAI(A;;0xd01f01ff;;;SY)(A;;0xd01f01ff;;;BA)(A;;0x80120089;;;NS)"
$key.MachineContext = 1
$key.Create()

$serverauthoid = new-object -com "X509Enrollment.CObjectId.1"
$serverauthoid.InitializeFromValue("1.3.6.1.5.5.7.3.1")
$ekuoids = new-object -com "X509Enrollment.CObjectIds.1"
$ekuoids.add($serverauthoid)
$ekuext = new-object -com "X509Enrollment.CX509ExtensionEnhancedKeyUsage.1"
$ekuext.InitializeEncode($ekuoids)

$cert = new-object -com "X509Enrollment.CX509CertificateRequestCertificate.1"
$cert.InitializeFromPrivateKey(2, $key, "")
$cert.Subject = $name
$cert.Issuer = $cert.Subject
$cert.NotBefore = get-date
$cert.NotAfter = $cert.NotBefore.AddDays(90)
$cert.X509Extensions.Add($ekuext)
$cert.Encode()

$enrollment = new-object -com "X509Enrollment.CX509Enrollment.1"
$enrollment.InitializeFromRequest($cert)
$certdata = $enrollment.CreateRequest(0)
$enrollment.InstallResponse(2, $certdata, 0, "")
    Je m'excuse parce que ma question peut induire en erreur. Mon problème est que j'ai besoin d'un moyen d'entrée de chiffrement, de sorte que le certificat de disposer d'une clé privée. Je comprends que DnsName est la solution, mais elle ne couvre pas les paramètres de cryptage.
    Donc, si vous utilisez la même commande avec DnsName au lieu de l'Objet finit-il par juste de trouver un autre paramètre à se plaindre?
    Oui! Comme je l'ai mentionné dans la question, l'intellisense ne pas afficher la liste complète des paramètres, et il se plaint quand j'essaie de taper les paramètres manquants, auquel j'ai eu à l'utiliser dans mon environnement powershell sur mon ordinateur portable.
    Mise à jour après quelques recherches supplémentaires. Je pense que cela peut vous rendre où vous devez aller.
    Ah! A dû aller à la FAQ pour savoir comment accepter une réponse. Je vous remercie encore.

    OriginalL'auteur JamieSee

  2. 0

    La suite a très bien fonctionné pour l'option auto-signé...

    New-SelfSignedCertificate -DnsName "*.costoso100.com" -CertStoreLocation "cert:\LocalMachine\My"

    J'ai été en mesure d'exporter et d'installation LDAPS en 15 minutes environ.

    OriginalL'auteur CLBdS