Certutil请求连接智能卡

Question

我正在尝试运行certutil -repairstore，但一直收到智能卡的提示。这是AWS上的虚拟机，不能选择智能卡。任何关于如何绕过智能卡并完成修复的想法都将受到欢迎。

Answer 1

另一个答案涉及到这个问题，但我想添加一些上下文/细节，因为我花了很多时间寻找这个问题的根源。终止与智能卡相关的服务不起作用，使用gpedit禁用相关策略也不起作用。

当你使用-repairstore选项运行certutil时，Windows会运行它的CSP(配置服务提供商)列表，其中之一是"Microsoft Smart card Key Storage Provider“-它会导致提示输入您的智能卡。如上所述，最有可能的原因是您正在尝试安装证书文件(.crt、.cer、.pem等)。它在VM上没有对应的密钥，因此Windows在各种CSP中循环查找有效的密钥，但找不到。这个问题有两种可能的解决方案：

1. 您应该通过IIS >服务器证书>创建证书请求来生成您的证书签名请求。这将确保密钥是在本地生成的，并且适当的密钥存储知道它。使用CSR从GoDaddy或您的提供商那里获取证书，然后您应该能够转到IIS >服务器证书>完成证书申请来安装证书，并完全避免证书颁发。

1. 如果您仍然不能使其工作，并且确定密钥是在本地生成的，则-csp选项将允许您指定在验证证书时使用哪个CSP，从而消除了Windows尝试智能卡CSP的需要。您可以通过运行certutil -csplist来获取系统上安装的CSPs -“提供者名称”值是您传递给certutil的值。例如，certutil -csp "Microsoft Software Key Storage Provider" -repairstore ...将强制certutil根据微软软件密钥存储提供商进行验证。确保使用引号，因为名称中有空格。

Answer 2

请确保在承载该域的同一个windows服务器上发出原始证书请求。然后使用ssl供应商提供的p7b完成请求，就不会有任何问题。

Answer 3

尝试将-silent添加到命令中