Question

我想通过Azure门户（Azure Key Vault）创建一个自签名的CA证书。我不确定如何设置X509扩展基本约束CA：True

一些参考链接： https://docs.microsoft.com/en-us/powershell/module/pkiclient/new-selfsignedcertificate?view=win10-ps

https://www.alvestrand.no/objectid/2.5.29.19.html

（注意：我需要通过Azure门户手动完成操作，而不是openssl或PowerShell脚本）

我如何尝试

我得到了什么

我的期望是CA：True。谢谢您的帮助：）

Answer 1

显然，这通过REST API起作用，但不幸的是，既没有通过Portal UI也没有通过.NET Client SDK公开。另外，它现在没有正确记录。

当您查看example response for the Get Certificate Policy endpoint时，您会发现它有一个"basic_constraints"部分，其中包含您要查找的值（即使未在相应的X509CertificateProperties section中进行记录）在同一页面上）。

该属性记录在REST API的常规"D509 props" documentation中。请注意path_len_contraint中的错字，但如果要使用它，则必须为path_len_constraint。

因此，使用

发布到https://<yourvault>.vault.azure.net/certificates/some-new-cert/create?api-version=7.0时

    "x509_props": {
        ...
        "key_usage": [
            "keyCertSign"
        ],
        "basic_constraints": {
            "ca": true,
            "path_len_constraint": 3
        }
    },

它实际上按预期设置值。有关其他参数，请参见Create Certificate documentation。

结果可以在导出证书的openssl转储中看到：

        X509v3 Key Usage: critical
            Certificate Sign
        X509v3 Basic Constraints: critical
            CA:TRUE, pathlen:3

Azure Key Vault证书-创建基本约束CA：True

1 个答案: