5.8.8. 使用 SCEP 发出 ECC 证书

默认情况下,ECC CA 不支持 SCEP out。但是,可以通过使用指定的 RSA 证书来处理以下两个区域的每个区域来临时解决这个问题:
  • 加密/解密证书 - 指定具有加密/解密能力的 RSA 证书;(以下示例中的scepRSAcert)
  • 签名证书 - 获取要在客户端使用 RSA 证书以签名目的,而不是自签名证书。(以下示例中的认证证书)
例如,如果 scepRSAcert cert 是加密/解密证书,其签名证书是签名证书:
sscep enroll -c ca.crt -e scepRSAcert.crt -k local.key -r local.csr -K sign.key -O sign.crt -E 3des -S sha256 -l cert.crt -u 'http://example.example.com:8080/ca/cgi-bin/pkiclient.exe'