IdentityServer3的证书要求？

Question

我正在创建来自域控制器的证书请求，以便在IdentityServer3 (ID3)中使用。在证书属性对话框的“密钥使用”部分，我看到了一个密钥用法列表：

• CRL签名
• 数据加密
• 仅破译
• 数字签名
• 仅加密
• 关键协议
• 密钥加密
• 密钥证书签名
• 不可抵赖

问题很简单: ID3对其签名证书需要哪些密钥用法？除了“使用证书”之外，我在ID3文档中找不到任何东西。

我想也有可能所有的证书都是“相等”创建的，而第一个问题是无关的吗？做个证书就行了吗？

Answer 1

Identity Server 3的相关文档是这里。但是，在关键用法类型方面，它们并没有详细说明.

对于您的第一个问题，我相信正确的用法是数字签名。关于你的第二个问题，我不知道这类型是否重要，但我在这方面有点新手。

在这里，我的答案是基于用于生成自签名证书的PowerShell命令：

新的自签署证书-Type -Subject "CN=My Signing Cert“-Provider微软强密码提供商”-KeyUsage DigitalSignature -KeyAlgorithm RSA -KeyLength 2048 -HashAlgorithm“-TextExtension @(2.5.29.37={text}1.3.6.1.5.5.7.3.3”) -NotAfter (Get-Date).AddYears(1)

您还可以查看Identity Server的作者之一的这篇博客文章：

制作和创建ssl或签名证书

虽然他的示例显示了使用不同工具(makecert)生成自签名证书，但我的命令和他的共享映射到代码签名的增强密钥使用对象标识符1.3.6.1.5.5.7.3.3。

所以，也许关键的部分是OID，而不是关键用法？或者，也许找到正确的答案确实很重要。不管是哪种方式，这似乎都是合理的选择。

如果你最终(通过测试或其他方式)明确地找到了答案，你可以在你的结果中添加评论吗？