PowerShell: New-SelfSignd证书: CertEnroll::CX509Enrollment::_CreateRequest:指定的无效标志。0x80090009

Question

我正在尝试创建一个证书，稍后将用于在开发中对其他证书进行签名。我使用的是Powershell。

以下是命令：

New-SelfSignedCertificate -CertStoreLocation Cert:\CurrentUser\My -Container In4mRootCATest* -DnsName in4monline-test.com -FriendlyName "In4m Test Root CA Cert" -KeyExportPolicy Exportable -KeyFriendlyName "In4m Test Root CA Cert Private Key" -KeyLocation "C:\scratch" -KeyProtection None -KeySpec Signature -KeyUsage CertSign,CRLSign,DigitalSignature -KeyUsageProperty All -NotAfter (Get-Date).AddMonths(72) -Provider "Microsoft Base DSS Cryptographic Provider" -Type Custom

我得到的错误是：

New-SelfSignedCertificate : CertEnroll::CX509Enrollment::_CreateRequest: Invalid flags specified. 0x80090009 (-2146893815 NTE_BAD_FLAGS)
At line:1 char:1
+ New-SelfSignedCertificate -CertStoreLocation Cert:\CurrentUser\My -Co ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo          : NotSpecified: (:) [New-SelfSignedCertificate], Exception
+ FullyQualifiedErrorId : System.Exception,Microsoft.CertificateServices.Commands.NewSelfSignedCertificateCommand

有人能帮助我理解我可能错误地组合/提交了哪些值吗？

我在Windows 10上。

我们很感激你的帮助。

Answer 1

我不是证书专家，但这可能会让你前进。我建议从你将得到的列表中尝试另一个提供者：

certutil -csplist

https://social.technet.microsoft.com/wiki/contents/articles/7573.active-directory-certificate-services-pki-key-archival-and-management.aspx

客户端CSP不允许为客户端注册处理生成密钥导出并将私钥发送到CA，生成密钥时必须将密钥标记为可导出。如果证书模板设置为不允许密钥可导出，或者如果第三方CSP (如果适用)不支持可导出密钥，则注册将失败，注册向导将返回密钥不可导出的错误。当发生这种情况时，第三方CSPs可能会报告不同的错误，例如“灾难性故障”。如果Windows 2000或Windows千年版客户端使用密钥存档执行注册，如果该键未标记为导出，则可能出现以下错误。0x80090009 - NTE_BAD_FLAGS备注:如果CSP支持密钥归档的一次性标志(称为(CRYPT_ARCHIVABLE) )，则不需要密钥导出标志。Microsoft默认软件CSP支持此标志。但是，Windows 2000和Windows千年版客户端不支持此标志，必须允许导出用于注册的密钥以处理密钥存档。