为TPM创建CSR

Question

我正在尝试为TPM生成CSR，以便将其发送到CA。我遇到了一些困难，因为CSR需要使用存储在TPM中的私钥进行签名，而我偶然发现的大多数CSR生成代码都不知道如何使用TPM。

我考虑的解决方案是自己创建企业社会责任(使用c#)，并使用常规的TPM命令对其进行签名，但我似乎找不到如何在不使用外部源代码的情况下从头开始构建企业社会责任。

任何关于此事的意见或建议都将受到欢迎。谢谢

Answer 1

您可以在以下位置找到certreq命令文档：https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/dn296456(v%3dws.11)

您可以将"certreq“命令与关联的-new文件一起使用，您可以在该文件中定义证书请求的特征，包括"ProviderName”属性。对于将由TPM创建并安全地保存在TPM中的证书的私钥，您可以指定

ProviderName = "Microsoft Platform Crypto Provider"

如果证书是与计算机帐户关联的设备证书，而不是单个用户，则还可以在inf文件中指明以下内容：

MachineKeySet = true

许多其他属性可用于定义证书的允许用例以及与其生存期和续订相关的特征。