在certreq -new策略inf文件中将-new定义为“两者”

Question

我使用certreq -new并有一个inf格式的策略文件。我想将"KeySpec“参数设置为”两者“，文档告诉我这是可能的。但它并没有告诉我如何：

KeySpec确定该密钥是否可用于签名、用于Exchange (加密)或两者。

签名由"2“定义，加密(exchange)由"1”设置。输入0会产生一个签名规范，输入3会告诉我它不知道"3“应该是什么。

有人知道如何为两者定义KeySpec吗？

Answer 1

对任何感兴趣的人我都想通了。KeySpec 2只意味着签名，KeySpec 1意味着两者都有，为了将密钥限制为仅加密，可以使用EncipherOnly选项。

还有一个相关的注意事项，因为我偶然发现:使用KeyLength=2048与"Microsoft加密提供程序“一起使用KeySpec=1不起作用，您必须选择另一个(使用cerutil -csplist查找一个)。