Marcar chave privada como não exportável

4

Existe alguma maneira de marcar uma chave privada como NOT EXPORTABLE se a chave já tiver sido importada como EXPORTABLE?

Um pouco mais de conhecimento:

Um certificado contendo uma chave privada já foi importado com a opção de permitir que a chave privada seja exportada. No entanto, gostaríamos de intensificar um pouco a segurança e marcar a chave como não exportável. Como o certificado é um certificado curinga e está vinculado a muitos sites, gostaríamos de evitar a exclusão do certificado e sua reimportação.

O ambiente é o Windows Server 2012 R2.

    
por Mihai Caracostea 26.01.2017 / 20:24

2 respostas

2

Até onde sei, a única maneira de marcar uma chave privada como não-exportável na sua situação é reimportar o certificado. Uma vez que já é importado, você não pode modificar a variável booleana que define essa opção.

A variável que é pesquisada e define uma chave privada como exportável ou não é:

PrivateKeyExportable
Optional
System.Boolean
The PrivateKeyExportable parameter specifies whether the certificate has an exportable private key, and controls whether you can export the certificate from this server. Valid values are:
$true   The private key is exportable, so you can export the certificate from this server.
$false   The private key isn't exportable, so you can't export the certificate from this server. This is the default value.
    
por 29.01.2017 / 11:46
1

Depois de algumas pesquisas, também cheguei à conclusão de que a chave não pode ser apontada como não exportável, como afirma a resposta de nilux, sem reimportar a chave.

Estou postando essa resposta para adicionar o fato de que, se o certificado for excluído e reimportado, as ligações SSL / TLS usando esse certificado não serão afetadas.

Isso significa que minha preocupação principal com relação às muitas ligações usando esse certificado curinga não é um problema.

Devo acrescentar que usei o snap-in Certificados para fazer a reimportação, não a interface do Gerenciador do IIS - Certificados do servidor.

    
por 15.02.2017 / 19:19