MakeCert
Notitie
MakeCert is afgeschaft. Als u zelfondertekende certificaten wilt maken, gebruikt u de PowerShell-cmdlet New-SelfSignedCertificate.
Het hulpprogramma MakeCert maakt een X.509--certificaat, ondertekend door de testhoofdsleutel of een andere opgegeven sleutel, waarmee uw naam wordt gekoppeld aan het openbare deel van het sleutelpaar. Het certificaat wordt opgeslagen in een bestand, een systeemcertificaatarchief of beide. Het hulpprogramma wordt geïnstalleerd in de map \Bin van het installatiepad van de Microsoft Windows Software Development Kit (SDK).
U kunt de Windows SDK downloaden vanuit het Windows-ontwikkelaarscentrum.
Het hulpprogramma MakeCert gebruikt de volgende opdrachtsyntaxis:
MakeCert [BasicOptions|ExtendedOptions] OutputFile
OutputFile is de naam van het bestand waarin het certificaat wordt geschreven. U kunt OutputFile weglaten als het certificaat niet naar een bestand moet worden geschreven.
Opties
MakeCert bevat eenvoudige en uitgebreide opties. Basisopties zijn de opties die het meest worden gebruikt om een certificaat te maken. Uitgebreide opties bieden meer flexibiliteit.
De opties voor MakeCert zijn ook onderverdeeld in drie functionele groepen:
- Basisopties die specifiek zijn voor alleen technologie voor certificaatarchief.
- Uitgebreide opties die specifiek zijn voor SPC-bestand en persoonlijke sleuteltechnologie alleen.
- Uitgebreide opties die van toepassing zijn op SPC-bestand, persoonlijke sleutel en certificaatarchieftechnologie.
Opties in de volgende tabellen kunnen alleen worden gebruikt met Internet Explorer 4.0 of hoger.
| Basisoptie | Beschrijving |
|---|---|
| -aAlgorithm | Hash- algoritme. Moet zijn ingesteld op SHA-1- of MD5- (standaard). Zie MD5voor meer informatie over MD5. |
| -bDateStart- | De datum waarop het certificaat eerst geldig is. De standaardwaarde is wanneer het certificaat wordt gemaakt. De notatie van DateStart is mm/dd/jjjj. |
| -cyCertificateTypes | Certificaattype. CertificateTypes kunnen worden voor de eindentiteit of voor certificeringsinstantie. |
| -eDateEnd- | Datum waarop de geldigheidsperiode afloopt. De standaardwaarde is het jaar 2039. |
| -ekuOID1,OID2 ... | Hiermee voegt u een lijst in van een of meer door komma's gescheiden, uitgebreid sleutelgebruikobject-id's (OID's) in het certificaat. Bijvoorbeeld: -eku 1.3.6.1.5.5.7.3.2 de clientverificatie-OID invoegt. Zie het bestand Wincrypt.h in CryptoAPI 2.0 voor definities van toegestane OID's. |
| -hNumChildren | Maximale hoogte van de structuur onder dit certificaat. |
| -lPolicyLink- | Koppeling naar beleidsinformatie van het SPC-agentschap (bijvoorbeeld een URL). |
| -mnMaanden | Duur van de geldigheidsperiode. |
| -n'' | Naam voor het certificaat van de uitgever. Deze naam moet voldoen aan de X.500 standaard. De eenvoudigste methode is om de indeling "CN=MyName" te gebruiken. Bijvoorbeeld: -n "CN=Test". |
| -nscp- | De Netscape-clientverificatie-extensie moet worden opgenomen. |
| -pe- | Markeert de persoonlijke sleutel als exporteerbaar. |
| -r- | Hiermee maakt u een zelfondertekend certificaat. |
| -scSubjectCertFile- | De naam van het certificaatbestand met de bestaande openbare onderwerpsleutel die moet worden gebruikt. |
| -skSubjectKey- | Locatie van de sleutelcontainer van het onderwerp die de persoonlijke sleutel bevat. Als er geen sleutelcontainer bestaat, wordt er een gemaakt. Als de optie -sk of -sv wordt gebruikt, wordt er standaard een standaardsleutelcontainer gemaakt en gebruikt. |
| -skySubjectKeySpec | De sleutelspecificatie van het onderwerp.
SubjectKeySpec- moet een van de drie mogelijke waarden zijn:
|
| -spSubjectProviderName- | CryptoAPI-provider voor onderwerp. De standaardwaarde is de provider van de gebruiker. Zie de CryptoAPI 2.0-documentatie voor meer informatie over CryptoAPI-providers. |
| -srSubjectCertStoreLocation- | Registerlocatie van het certificaatarchief van het onderwerp. SubjectCertStoreLocation- moet LocalMachine- (registersleutel HKEY_LOCAL_MACHINE) of CurrentUser- (registersleutel HKEY_CURRENT_USER). CurrentUser is de standaardinstelling. |
| -ssSubjectCertStoreName | Naam van het certificaatarchief van het onderwerp waar het gegenereerde certificaat wordt opgeslagen. |
| -svSubjectKeyFile- | Naam van het PVK-bestand van het onderwerp. Als de optie -sk of -sv wordt gebruikt, wordt er standaard een standaardsleutelcontainer gemaakt en gebruikt. |
| -synSubjectProviderType | Type CryptoAPI-provider voor onderwerp. De standaardwaarde is PROV_RSA_FULL. Zie de CryptoAPI 2.0-documentatie voor informatie over cryptoAPI-providertypen. |
| -# SerialNumber | Serienummer van het certificaat. De maximumwaarde is 2^31. De standaardwaarde is een waarde die wordt gegenereerd door het hulpprogramma dat gegarandeerd uniek is. |
| -$ CertificateAuthority- | Type certificeringsinstantie. CertificateAuthority- moet worden ingesteld op commerciële (voor certificaten die moeten worden gebruikt door uitgevers van commerciële software) of afzonderlijke (voor certificaten die door afzonderlijke software-uitgevers moeten worden gebruikt). |
| -? | Geeft de basisopties weer. |
| -! | Geeft de uitgebreide opties weer. |
Notitie
Als de optie -sky sleutelspecificatie wordt gebruikt in Internet Explorer versie 4.0 of hoger, moet de specificatie overeenkomen met de sleutelspecificatie die wordt aangegeven door de persoonlijke sleutel bestand of persoonlijke sleutelcontainer. Als de optie voor sleutelspecificatie niet wordt gebruikt, wordt de sleutelspecificatie gebruikt die wordt aangegeven door het bestand met de persoonlijke sleutel of de persoonlijke sleutelcontainer. Als er meer dan één sleutelspecificatie in de sleutelcontainer is, probeert MakeCert eerst de AT_SIGNATURE sleutelspecificatie te gebruiken. Als dat mislukt, probeert MakeCert AT_KEYEXCHANGE te gebruiken. Omdat de meeste gebruikers een AT_SIGNATURE-sleutel of een AT_KEYEXCHANGE-sleutel hebben, hoeft deze optie in de meeste gevallen niet te worden gebruikt.
De volgende opties zijn alleen bedoeld voor SPC-bestanden (Software Publisher Certificate) en persoonlijke sleuteltechnologie.
| Optie SPC en persoonlijke sleutel | Beschrijving |
|---|---|
| -icIssuerCertFile- | Locatie van het certificaat van de verlener. |
| -ikIssuerKey- | Locatie van de sleutelcontainer van de verlener. De standaardwaarde is de hoofdsleutel van de test. |
| -ikyIssuerKeySpec | De belangrijkste specificatie van de verlener, die een van de drie mogelijke waarden moet zijn:
|
| -ipIssuerProviderName- | CryptoAPI-provider voor verlener. De standaardwaarde is de provider van de gebruiker. Zie de CryptoAPI 2.0-documentatie voor meer informatie over CryptoAPI-providers. |
| -ivIssuerKeyFile- | Het persoonlijke sleutelbestand van de verlener. De standaardwaarde is de testhoofdmap. |
| -iynIssuerProviderType | Type CryptoAPI-provider voor verlener. De standaardwaarde is PROV_RSA_FULL. Zie de CryptoAPI 2.0-documentatie voor informatie over cryptoAPI-providertypen. |
Notitie
Als de optie -iky sleutelspecificatie wordt gebruikt in Internet Explorer 4.0 of hoger, moet de specificatie overeenkomen met de sleutelspecificatie die wordt aangegeven door de persoonlijke sleutel bestand of persoonlijke sleutelcontainer. Als de optie voor sleutelspecificatie niet wordt gebruikt, wordt de sleutelspecificatie gebruikt die wordt aangegeven door het bestand met de persoonlijke sleutel of de persoonlijke sleutelcontainer. Als er meer dan één sleutelspecificatie in de sleutelcontainer is, probeert MakeCert eerst de AT_SIGNATURE sleutelspecificatie te gebruiken. Als dat mislukt, probeert MakeCert AT_KEYEXCHANGE te gebruiken. Omdat de meeste gebruikers een AT_SIGNATURE-sleutel of een AT_KEYEXCHANGE-sleutel hebben, hoeft deze optie in de meeste gevallen niet te worden gebruikt.
De volgende opties zijn alleen bedoeld voor certificaatarchief technologie.
| Optie certificaatarchief | Beschrijving |
|---|---|
| -icIssuerCertFile- | Bestand dat het certificaat van de verlener bevat. MakeCert zoekt in het certificaatarchief naar een certificaat met een exacte overeenkomst. |
| -inIssuerNameString- | Algemene naam van het certificaat van de verlener. MakeCert zoekt in het certificaatarchief naar een certificaat waarvan de algemene naam IssuerNameString-bevat. |
| -irIssuerCertStoreLocation | Registerlocatie van het certificaatarchief van de verlener. IssuerCertStoreLocation- moet LocalMachine- (registersleutel HKEY_LOCAL_MACHINE) of CurrentUser- (registersleutel HKEY_CURRENT_USER). CurrentUser is de standaardinstelling. |
| -isIssuerCertStoreName- | Certificaatarchief van verlener met het certificaat van de verlener en de bijbehorende persoonlijke sleutelgegevens. Als er meer dan één certificaat in het archief staat, moet de gebruiker het uniek identificeren met behulp van de optie -ic of -in. Als het certificaat in het certificaatarchief niet uniek is geïdentificeerd, mislukt MakeCert. |