导出没有私钥的证书

Question

我正在使用以下PowerShell代码创建一个证书，该证书可用作列主密钥，用于始终加密的特性：

New-SelfSignedCertificate -Subject "AlwaysEncryptedSecurityLevelNormalV001" -CertStoreLocation Cert:LocalMachineMy -KeyExportPolicy Exportable -Type DocumentEncryptionCert -KeyUsage KeyEncipherment -KeySpec KeyExchange -KeyLength 2048 -NotAfter (Get-Date).AddYears(100)

然后导出证书并将其导入到运行Server的机器中。在导出过程中，我将禁用导出证书私钥的选项。因此，如果一个人试图导出它，他/她将得到以下信息：

这很好，因为证书私钥为导出提供了保护。

我想知道是否有任何情况下，我可能只需要导出证书，但没有女贞密钥的上下文始终加密功能(作为此证书的工作，它只保护列加密密钥)？

Answer 1

然后导出证书并将其导入到运行Server的机器中。

如果运行server的服务器也具有解密所有数据的证书，则这就违背了使用始终加密的目的。

求你了求你了别这样！将其放在客户端机器或“工具”或“中间加载”机器上，以获取进出数据。然后移除密钥，并将其仅保存在已锁定的客户端计算机上。

我还会在您的脑海中保留一个解决方案，用于解决客户端计算机丢失/被盗/被破坏(膝上型计算机)或服务器被破坏时的问题。你怎么知道，你需要多长时间旋转CMK，你知道如何旋转CMK，等等。

我想知道是否有任何情况下，我可能只需要导出证书，但没有女贞密钥的上下文始终加密功能(作为此证书的工作，它只保护列加密密钥)？

私钥是保证一切安全的东西，所以没有私钥就没有解密。我想不出有什么时候会有用。