使用 cmp 客户端进行证书注册会引发错误“缺少保护” - 这是什么意思？

我正在尝试从 FortiAuthenticator (6.6.0) 获取 cmp 客户端的证书。

事先我

• 在 cmp 客户端上生成了 .pem 密钥对。 （openssl genrsa -out key.pem 2048）
• 为 FAC 生成 CA 证书
• 为 FAC 上的 cmp 服务器生成服务器证书

这个命令：

openssl cmp -cmd ir -server http://192.168.1.99/app/cert/cmp2/ -subject /C=Country/ST=State/L=City/O=Company/CN=PFC200/[email protected] -newkey key.pem -certout cert.pem 

注意，主题的 DN 实际上是不同的，我插入了占位符。

问题是，cmp 客户端抛出以下错误：

CMP信息：发送IR CMP 信息：收到错误 CMP 错误：缺少保护

我找不到任何关于如何解决错误/原因是什么的提示。不幸的是，我在 FAC 日志中看不到任何日志条目以进行进一步调查。

wireshark 中 FAC 上 cmp 服务器应答的捕获内容如下：

• 错误详细信息：“缺少保护”
• failinfo 为“BadRequest”：True
• 错误代码：486539407

因此我尝试了上述命令的多个版本

• 添加-recipient（服务器的DN）
• 在 FAC 上创建注册请求，并使用 -secret pass:xpbftSv4 传递由此生成的密码（类似于 xpbftSv4）
• 在客户端传递自签名证书及其密钥，而不是仅传递密钥
• 传递 -unprotected_requests 标志

我能找到的关于“错误请求”错误的唯一合适的东西是在这个网站上https://docs.keyfactor.com/ejbca/latest/cmp-error-messages

“提交指定了无效证书扩展的 CMP 客户端模式注册请求。”

我尝试将文件扩展名从 -certout cert.pem 更改为 .crt 或 .cer 但没有成功。

那么缺失保护到底是什么意思？

注册 FAC 的重点是设备事先并不了解彼此的场景。

提前致谢，kr

我无法添加适当的标签，例如“证书管理协议”或“证书注册请求”。