Windows 系统安全与服务管理脚本指南
1. 安全管理脚本:Certutil.exe 相关
Certutil.exe 是一个重要的安全管理工具,在证书服务方面发挥着重要作用。你可以通过运行带有 /? 参数的脚本,来查看其语法。
1.1 CA 证书密钥机制
CA 的证书由公钥和私钥组成,通常被称为密钥对。CA 的私钥用于对所有颁发的证书进行数字签名。想要验证密钥真实性的人,可以获取 CA 的公钥证书,用于解密和验证签名。
-使用 reusekeys 参数保留密钥:通过使用 reusekeys 参数保留相同的密钥,可以确保之前颁发的所有证书都能被验证。
-不使用 reusekeys 参数:如果不使用该参数,在更新时会强制生成新的密钥对,从而降低伪造密钥的可能性。不过,这意味着之前颁发的所有证书可能会被视为无效,需要重新颁发。但通常情况下,所有已颁发的证书会在 CA 证书到期之前自行过期,所以这些证书本来就需要重新颁发。
是否重用密钥,每个组织都应根据自身业务需求进行研究和决策。
1.2 故障排除
Certutil.exe 假定运行该工具的用户账户有权限在证书服务中执行所需的操作。由于证书服务是组织安全的关键部分,通常会进行严格的安全设置,普通管理账户(如 Domain Admins 组)可能没有管理权限。相反,PKI 的管理权限通常授予另一个组,以减少对 PKI 有控制权的单个用户数量。
确保使用适当的用户账户运行 Certutil.exe;如有必要,可以使用 Runas 命令提供替代用户凭据来执行该
