将未签名的pkcs10提交给windows证书颁发机构

Question

是否可以让Windows证书颁发机构接受未签名的PKCS10证书请求？我得到以下错误Error Verifying Request Signature or Signing Certificate The request is not supported. 0x80070032 (WIN32: 50 ERROR_NOT_SUPPORTED)。我希望CA跳过签名检查，只接受请求。

Answer 1

不，Microsoft ADCS不支持没有一个可信签名的请求。也就是说，请求必须直接签名(签名由请求者创建)或外部签名者。在这种情况下，PKCS#10请求必须嵌入到PKCS#7/CMC请求中，并使用授权的签名证书进行签名。

使用CertEnroll，您可以利用IX509CertificateRequestCmc

1. 将现有的无符号请求加载到IX509CertificateRequestPkcs10接口
2. 使用PKCS10方法将IX509CertificateRequestCmc请求加载到D6接口
3. 使用IX509CertificateRequestCmc::SignerCertificates提供外部签名者信息(证书)
4. 将CMC请求加载到IX509Enrollment接口
5. 调用IX509Enrollment::CreateRequest签名并创建签名请求。

最后，您将得到一个带有嵌入式无签名PKCS#10请求的签名CMC请求，您可以将该请求提交到CA服务器。