MakeCert
Jegyzet
A MakeCert elavult. Önaláírt tanúsítványok létrehozásához használja a PowerShell-parancsmagot New-SelfSignedCertificate.
A MakeCert eszköz létrehoz egy X.509- tanúsítványt, amelyet a teszt főkulcsa vagy más megadott kulcs ír alá, amely a kulcspár nyilvános részéhez köti a nevét. A rendszer a tanúsítványt fájlba, rendszertanúsítvány-tárolóba vagy mindkettőbe menti. Az eszköz a Microsoft Windows Software Development Kit (SDK) telepítési útvonalának \Bin mappájába van telepítve.
A Windows SDK letölthető a Windows Dev Center.
A MakeCert eszköz a következő parancs szintaxisát használja:
MakeCert [BasicOptions|ExtendedOptions] OutputFile
OutputFile annak a fájlnak a neve, amelyben a tanúsítvány meg lesz írva. Kihagyhatja OutputFile, ha a tanúsítványt nem kell fájlba írni.
Beállítások
A MakeCert alapszintű és kiterjesztett lehetőségeket tartalmaz. Az alapvető beállítások a tanúsítványok létrehozásához leggyakrabban használt beállítások. A kiterjesztett lehetőségek nagyobb rugalmasságot biztosítanak.
A MakeCert beállításai szintén három funkcionális csoportra oszlanak:
- Csak a tanúsítványtároló technológiára vonatkozó alapbeállítások.
- Csak az SPC-fájl- és titkoskulcs-technológiára vonatkozó kiterjesztett lehetőségek.
- Kiterjesztett lehetőségek az SPC-fájlra, a titkos kulcsra és a tanúsítványtároló technológiára.
Az alábbi táblázatokban megadott beállítások csak az Internet Explorer 4.0-s vagy újabb verziójával használhatók.
| Alapszintű beállítás | Leírás |
|---|---|
| -aAlgoritmus | Kivonat algoritmus. SHA-1 vagy MD5 (alapértelmezett) értékre kell állítani. További információ az MD5-ről: MD5. |
| -bDateStart | A tanúsítvány első érvényességének dátuma. Az alapértelmezett érték a tanúsítvány létrehozásakor van. A DateStart formátuma mm/dd/ééééé. |
| -cyCertificateTypes | Tanúsítvány típusa. CertificateTypes lehet végfelhasználói, vagy szolgáltatóihitelesítésszolgáltatói. |
| -eDateEnd | Az érvényességi időszak lejártának dátuma. Az alapértelmezett érték a 2039-es év. |
| -ekuOID1,OID2 ... | Egy vagy több vesszővel tagolt, továbbfejlesztett kulcshasználatiobjektumazonosító k (OID-k) listáját szúrja be a tanúsítványba. Például -eku 1.3.6.1.5.5.7.3.2 beszúrja az ügyfél-hitelesítési OID-t. Az engedélyezett OID-k definícióiért lásd a Wincrypt.h fájlt a CryptoAPI 2.0-ban. |
| -hNumChildren | A tanúsítvány alatti fa maximális magassága. |
| -lPolicyLink | Hivatkozás az SPC-ügynökség házirendadataira (például egy URL-címre). |
| -mnMonths | Az érvényességi időtartam időtartama. |
| -n"Név" | A közzétevő tanúsítványának neve. Ennek a névnek meg kell felelnie az X.500 szabványnak. A legegyszerűbb módszer a "CN=MyName" formátum használata. Például: -n "CN=Test". |
| -nscp | A Netscape ügyfélhitelesítési bővítményt is tartalmaznia kell. |
| -pe | A titkos kulcsot exportálhatóként jelöli meg. |
| -r | Önaláírt tanúsítványt hoz létre. |
| -scSubjectCertFile | Tanúsítványfájl neve a használni kívánt meglévő tulajdonosi nyilvános kulccsal. |
| -skSubjectKey | A tulajdonos kulcstárolójának helye, amely a titkos kulcsot tartalmazza. Ha egy kulcstároló nem létezik, létrejön egy. Ha sem a -sk, sem a -sv beállítást nem használja, a rendszer alapértelmezés szerint létrehoz és használ egy alapértelmezett kulcstárolót. |
| -skySubjectKeySpec | A tárgy kulcsspecifikációja.
SubjectKeySpec három lehetséges érték egyikének kell lennie:
|
| -spSubjectProviderName | CryptoAPI-szolgáltató a tárgyhoz. Az alapértelmezett érték a felhasználó szolgáltatója. A CryptoAPI-szolgáltatókkal kapcsolatos információkért tekintse meg a CryptoAPI 2.0 dokumentációját. |
| -srSubjectCertStoreLocation | A tulajdonos tanúsítványtárolójának beállításjegyzék-helye. SubjectCertStoreLocationLocalMachine (beállításkulcs HKEY_LOCAL_MACHINE) vagy CurrentUser (beállításkulcs HKEY_CURRENT_USER) kell lennie. CurrentUser az alapértelmezett. |
| -ssSubjectCertStoreName | A tulajdonos tanúsítványtárolójának neve, ahol a létrehozott tanúsítványt tárolni fogja. |
| -svSubjectKeyFile | A tulajdonos .pvk fájljának neve. Ha sem a -sk, sem a -sv beállítást nem használja, a rendszer alapértelmezés szerint létrehoz és használ egy alapértelmezett kulcstárolót. |
| -synSubjectProviderType | CryptoAPI-szolgáltató típusa a tárgyhoz. Az alapértelmezett érték PROV_RSA_FULL. A CryptoAPI szolgáltatótípusokkal kapcsolatos információkért tekintse meg a CryptoAPI 2.0 dokumentációját. |
| -# SerialNumber | A tanúsítvány sorozatszáma. A maximális érték 2^31. Az alapértelmezett érték az eszköz által létrehozott érték, amely garantáltan egyedi lesz. |
| -$ CertificateAuthority | A hitelesítésszolgáltatótípusa. CertificateAuthoritykereskedelmi (a kereskedelmi szoftverkiadók által használandó tanúsítványokhoz) vagy egyéni (az egyes szoftverkiadók által használandó tanúsítványokhoz). |
| -? | Megjeleníti az alapvető beállításokat. |
| -! | Megjeleníti a kiterjesztett beállításokat. |
Jegyzet
Ha az Internet Explorer 4.0-s vagy újabb verziójában a -sky kulcsspecifikációs beállítást használja, a specifikációnak meg kell egyeznie a titkos kulcs fájllal vagy privát kulcstárolóval. Ha a kulcsspecifikációs beállítás nincs használatban, a titkos kulcsfájl vagy a titkos kulcstároló által megadott kulcsspecifikáció lesz használatban. Ha egynél több kulcsspecifikáció található a kulcstárolóban, a MakeCert először megkísérli használni a AT_SIGNATURE kulcsspecifikációt. Ha ez nem sikerül, a MakeCert megpróbálja használni a AT_KEYEXCHANGE. Mivel a felhasználók többsége rendelkezik AT_SIGNATURE kulccsal vagy AT_KEYEXCHANGE kulccsal, ezt a beállítást a legtöbb esetben nem kell használni.
Az alábbi lehetőségek csak Szoftver közzétevői tanúsítvány (SPC) fájlokhoz és titkoskulcs-technológiához használhatók.
| SPC és titkos kulcs lehetőség | Leírás |
|---|---|
| -icIssuerCertFile | A kiállító tanúsítványának helye. |
| -ikIssuerKey | A kiállító kulcstárolójának helye. Az alapértelmezett a teszt gyökérkulcsa. |
| -ikyIssuerKeySpec | A kiállító kulcsspecifikációja, amelynek a három lehetséges érték egyikének kell lennie:
|
| -ipIssuerProviderName | CryptoAPI-szolgáltató a kiállító számára. Az alapértelmezett érték a felhasználó szolgáltatója. A CryptoAPI-szolgáltatókkal kapcsolatos információkért tekintse meg a CryptoAPI 2.0 dokumentációját. |
| -ivIssuerKeyFile | A kiállító titkos kulcsfájlja. Az alapértelmezett a tesztgyökér. |
| -iynIssuerProviderType | A kiállító cryptoAPI-szolgáltatójának típusa. Az alapértelmezett érték PROV_RSA_FULL. A CryptoAPI szolgáltatótípusokkal kapcsolatos információkért tekintse meg a CryptoAPI 2.0 dokumentációját. |
Jegyzet
Ha az Internet Explorer 4.0-s vagy újabb verziójában az -iky kulcsspecifikációs beállítás van használatban, a specifikációnak meg kell egyeznie a titkos kulcs fájl vagy kulcstárolóáltal jelzett kulcsspecifikációval. Ha a kulcsspecifikációs beállítás nincs használatban, a titkos kulcsfájl vagy a titkos kulcstároló által megadott kulcsspecifikáció lesz használatban. Ha egynél több kulcsspecifikáció található a kulcstárolóban, a MakeCert először megkísérli használni a AT_SIGNATURE kulcsspecifikációt. Ha ez nem sikerül, a MakeCert megpróbálja használni a AT_KEYEXCHANGE. Mivel a felhasználók többsége rendelkezik AT_SIGNATURE kulccsal vagy AT_KEYEXCHANGE kulccsal, ezt a beállítást a legtöbb esetben nem kell használni.
Az alábbi lehetőségek csak tanúsítványtároló technológiára használhatók.
| Tanúsítványtároló lehetőség | Leírás |
|---|---|
| -icIssuerCertFile | A kiállító tanúsítványát tartalmazó fájl. A MakeCert egy pontos egyezésű tanúsítványt keres a tanúsítványtárolóban. |
| -inIssuerNameString | A kiállító tanúsítványának köznapi neve. A MakeCert egy olyan tanúsítványt keres a tanúsítványtárolóban, amelynek közös neve IssuerNameString. |
| -irIssuerCertStoreLocation | A kiállító tanúsítványtárolójának beállításjegyzék-helye. IssuerCertStoreLocationLocalMachine (beállításkulcs HKEY_LOCAL_MACHINE) vagy CurrentUser (beállításkulcs HKEY_CURRENT_USER) kell lennie. CurrentUser az alapértelmezett. |
| -isIssuerCertStoreName | A kiállító tanúsítványtárolója, amely tartalmazza a kiállító tanúsítványát és a hozzá tartozó titkos kulcs adatait. Ha egynél több tanúsítvány található az áruházban, a felhasználónak egyedileg kell azonosítania az -ic vagy -in beállítással. Ha a tanúsítványtárolóban lévő tanúsítvány nincs egyedileg azonosítva, a MakeCert sikertelen lesz. |