Установка Microsoft ADCS с использованием ключей ECC для мозгового пула

CryptoDan

04.02.2023, 12:38

Я получил запрос от клиента на установку ADCS с использованием ECDSA с использованием определенной кривой ECC для ключей (bp384r1). Эта кривая не указана в процессе установки ADCS при создании нового ключа и выборе CSP (есть только NIST ECDSA_P384).

Я могу создать листовой сертификат, указав алгоритм ключа и CSP как «ECDSA_brainpoolP384r1, поставщик хранилища ключей программного обеспечения Microsoft». Однако это не отображается в графическом интерфейсе установки ADCS.

Я также пытался добавить эти строки в capolicy.inf перед установкой ЦС, но безуспешно...:
[Новый запрос]
KeyAlgorithm=ECDSA_brainpoolP384r1
ProviderName="Поставщик хранилища ключей программного обеспечения Microsoft"

Есть ли способ ограничить алгоритм ключа KSP определенным списком или изменить выбранные по умолчанию кривые ECC? Или попросить ADCS использовать определенный ключевой алгоритм, который я хочу?

Был бы признателен за любую помощь в этом - Спасибо!

0 + 0

центр сертификации

активный-каталог-adcs

Рейтинг:1

Server

Crypt32

04.02.2023, 14:38

К сожалению, Microsoft ADCS ограничивает поддерживаемые ключи общими кривыми NIST и не позволяет использовать кривые Brainpool. Если вам удастся предоставить сертификат с неподдерживаемой кривой, установщик его не примет. И нет никакого обходного пути, который я мог бы придумать и который бы работал.

0 + 0

CryptoDan

04.02.2023, 16:07

Является ли это ограничением MS CSP или ADCS? Если у меня есть HSM, поддерживающий пул мозгов, примет ли его ADCS?

Ответить

Crypt32

04.02.2023, 21:08

Это ограничение ADCS CA, а не CSP.Это означает, что не имеет значения, какой CSP/KSP вы будете использовать, CA просто выдаст ошибку, если увидит неразрешенные кривые.

Ответить

CryptoDan

05.02.2023, 05:55

Спасибо за Ваш ответ!

Ответить

CryptoDan

05.02.2023, 10:40

Можете ли вы отослать меня к соответствующей статье с разрешенным списком?

Ответить

Crypt32

05.02.2023, 10:41

Официальной документации по этому поводу нет. Даже неофициальные, но алгоритмы, которые вы видите в мастере установки, являются единственным поддерживаемым списком алгоритмов в зависимости от выбранного провайдера.

Ответить

Admin

Этот вопрос на других языках:

EN: Instaliing microsoft ADCS using brainpool ECC keys

TH: การติดตั้ง Microsoft ADCS โดยใช้คีย์ Brainpool ECC

RO: Instalarea Microsoft ADCS folosind cheile ECC brainpool

RU: Установка Microsoft ADCS с использованием ключей ECC для мозгового пула

VI: Cài đặt microsoft ADCS bằng khóa ECC của brainpool

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.