PowerShell：New-SelfSignedCertificate：CertEnroll :: CX509Enrollment :: _ CreateRequest：指定了無效的標志。 0x80090009

Question

我正在嘗試創建一個證書，我稍后將用它來簽署開發中的其他證書。 我正在使用Powershell New-SelfSignedCertificate cmdlet。

以下是命令：

New-SelfSignedCertificate -CertStoreLocation Cert:\CurrentUser\My -Container In4mRootCATest* -DnsName in4monline-test.com -FriendlyName "In4m Test Root CA Cert" -KeyExportPolicy Exportable -KeyFriendlyName "In4m Test Root CA Cert Private Key" -KeyLocation "C:\scratch" -KeyProtection None -KeySpec Signature -KeyUsage CertSign,CRLSign,DigitalSignature -KeyUsageProperty All -NotAfter (Get-Date).AddMonths(72) -Provider "Microsoft Base DSS Cryptographic Provider" -Type Custom

我得到的錯誤是：

New-SelfSignedCertificate : CertEnroll::CX509Enrollment::_CreateRequest: Invalid flags specified. 0x80090009 (-2146893815 NTE_BAD_FLAGS)
At line:1 char:1
+ New-SelfSignedCertificate -CertStoreLocation Cert:\CurrentUser\My -Co ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo          : NotSpecified: (:) [New-SelfSignedCertificate], Exception
+ FullyQualifiedErrorId : System.Exception,Microsoft.CertificateServices.Commands.NewSelfSignedCertificateCommand

任何人都可以幫助我理解我可能會合並/提交錯誤的值嗎？

我在Windows 10上。

感謝幫助。

Answer 1

刪除-provider參數，然后使用“證書”MMC管理單元查看證書是否符合您的要求。

Answer 2

我不是證書專家，但這可能會讓你前進。 我建議您嘗試使用列表中的其他提供商：

certutil -csplist

https://social.technet.microsoft.com/wiki/contents/articles/7573.active-directory-certificate-services-pki-key-archival-and-management.aspx

客戶端CSP不允許密鑰導出對於客戶端注冊過程生成並向CA發送私鑰，密鑰必須在生成密鑰時標記為可導出。 如果證書模板未設置為允許密鑰可導出，或者第三方CSP（如果適用）不支持可導出密鑰，則注冊將失敗，注冊向導將返回密鑰無法導出的錯誤。 當發生這種情況時，第三方CSP可能會報告不同的錯誤，例如“災難性故障”。 如果Windows 2000或Windows Millennium Edition客戶端使用密鑰存檔執行注冊，則如果密鑰未標記為導出，則可能會出現以下錯誤。 0x80090009 - NTE_BAD_FLAGS注意：如果CSP支持密鑰存檔的一次性標志，稱為（CRYPT_ARCHIVABLE），則不需要密鑰導出標志。 Microsoft默認軟件CSP支持此標志。 但是，Windows 2000和Windows Millennium Edition客戶端不支持此標志，並且必須允許導出密鑰以便注冊以使用密鑰存檔。