24、Windows 系统安全与服务管理脚本指南

Windows 系统安全与服务管理脚本指南

1. 安全管理脚本：Certutil.exe 相关

Certutil.exe 是一个重要的安全管理工具，在证书服务方面发挥着重要作用。你可以通过运行带有 /? 参数的脚本，来查看其语法。

1.1 CA 证书密钥机制

CA 的证书由公钥和私钥组成，通常被称为密钥对。CA 的私钥用于对所有颁发的证书进行数字签名。想要验证密钥真实性的人，可以获取 CA 的公钥证书，用于解密和验证签名。
-使用 reusekeys 参数保留密钥：通过使用 reusekeys 参数保留相同的密钥，可以确保之前颁发的所有证书都能被验证。
-不使用 reusekeys 参数：如果不使用该参数，在更新时会强制生成新的密钥对，从而降低伪造密钥的可能性。不过，这意味着之前颁发的所有证书可能会被视为无效，需要重新颁发。但通常情况下，所有已颁发的证书会在 CA 证书到期之前自行过期，所以这些证书本来就需要重新颁发。

是否重用密钥，每个组织都应根据自身业务需求进行研究和决策。

1.2 故障排除

Certutil.exe 假定运行该工具的用户账户有权限在证书服务中执行所需的操作。由于证书服务是组织安全的关键部分，通常会进行严格的安全设置，普通管理账户（如 Domain Admins 组）可能没有管理权限。相反，PKI 的管理权限通常授予另一个组，以减少对 PKI 有控制权的单个用户数量。
确保使用适当的用户账户运行 Certutil.exe；如有必要，可以使用 Runas 命令提供替代用户凭据来执行该