Estou usando o openssl no linux para gerar uma solicitação de assinatura de certificado (CSR) que será enviada para uma autoridade de certificação de serviços de certificados do Windows que foi configurada para arquivar chaves privadas.
Infelizmente, não consigo descobrir como usar o openssl para gerar um CSR que inclua a chave privada para que a autoridade de certificação possa emitir meu certificado e arquivar a chave privada.
Editar: com base neste Documentação da Microsoft , parece que o que estou tentando fazer é gerar um CSR usando o formato CMC, que é o que permite que a chave privada" vá junto "com a solicitação de arquivamento.
A partir desse link:
One of the formats the certificate request uses is the CMC format for certificate requests, which supports an optional encrypted data payload. This is the format required for certificate requests with private key archival. Technically, any client that supports the CMC protocol may enroll with an Enterprise CA and request that the private key be archived by the CA.
Ainda mais descobertas:
A combinação desses dois links ( um , dois ) é como você faria isso usando o utilitário certreq da Microsoft. Eu testei e funciona. Eu gostaria de fazer isso com o openssl, se possível.
Pare. Você está fazendo errado.
Uma chave privada é chamada privada por um motivo. É privada . Não deve ser compartilhado com terceiros, nem mesmo com uma autoridade de certificação. Ele não precisa assinar o CSR e não tem nenhum negócio sabendo disso.