我们有一个运行独立CA(证书颁发机构)和Web注册的Windows 2008 R2,因此用户可以访问http:// [server-name] / certsrv websote以获取请求证书。 高级证书请求表单(/certsrv/certrqma.asp)允许请求一个带有“标记密钥为可导出”的证书(checkbox)。
见图片: https : //dl.dropboxusercontent.com/u/3724852/web-enroll.png
我想知道是否有一种方式从CA来确定用户是否勾选了“标记键为可导出”选项? – 例如来自CA Pending Requests列表:
见图片: https : //dl.dropboxusercontent.com/u/3724852/ca_pending_requests.png
我们的目标是拒绝“标记密钥为可导出”请求,所以用户不会导出证书并将其安装到另一台计算机中。
你为什么不在这个特定的模板上禁用“允许导出私钥”选项呢? 那么,谁也不能select这个选项。 似乎这样做会解决你的大问题。
就像MDMarra所说 – 这不是CA的业务,客户如何处理他们的密钥,所以修复将不得不处于用户生成密钥的阶段。