MakeCert
Not
MakeCert är inaktuell. Om du vill skapa självsignerade certifikat använder du Powershell-cmdleten New-SelfSignedCertificate.
Verktyget MakeCert skapar ett X.509- certifikat, signerat av testrotnyckeln eller annan angiven nyckel, som binder ditt namn till den offentliga delen av nyckelparet. Certifikatet sparas i en fil, ett systemcertifikatarkiv eller både och. Verktyget installeras i mappen \Bin i installationssökvägen för Microsoft Windows Software Development Kit (SDK).
Du kan ladda ned Windows SDK från Windows Dev Center.
Verktyget MakeCert använder följande kommandosyntax:
MakeCert [BasicOptions|ExtendedOptions] OutputFile
OutputFile är namnet på filen där certifikatet skrivs. Du kan utelämna OutputFile- om certifikatet inte ska skrivas till en fil.
Alternativ
MakeCert innehåller grundläggande och utökade alternativ. Grundläggande alternativ är de som oftast används för att skapa ett certifikat. Utökade alternativ ger mer flexibilitet.
Alternativen för MakeCert är också indelade i tre funktionella grupper:
- Grundläggande alternativ som endast gäller för certifikatarkivteknik.
- Utökade alternativ som är specifika endast för SPC-fil och privat nyckelteknik.
- Utökade alternativ för SPC-fil, privat nyckel och certifikatarkivteknik.
Alternativ som anges i följande tabeller kan endast användas med Internet Explorer 4.0 eller senare.
| Grundläggande alternativ | Beskrivning |
|---|---|
| – en-algoritm | Hash-algoritm. Måste anges till antingen SHA-1 eller MD5- (standard). Information om MD5 finns i MD5. |
| -bDateStart | Datum då certifikatet först blir giltigt. Standardvärdet är när certifikatet skapas. Formatet för DateStart är mm/dd/åååå. |
| -cyCertificateTypes | Certifikattyp. CertificateTypes kan vara slutpunkt för slutentitet eller utfärdare för certifikatutfärdare. |
| -eDateEnd | Datum då giltighetsperioden slutar. Standardvärdet är år 2039. |
| -ekuOID1,OID2 ... | Infogar en lista över ett eller flera kommaavgränsade förbättrad nyckelanvändningobjektidentifierare (OID) i certifikatet. Till exempel infogar -eku 1.3.6.1.5.5.7.3.2 klientautentiserings-OID. Definitioner av tillåtna OID:er finns i Wincrypt.h-filen i CryptoAPI 2.0. |
| -hNumChildren | Maximal höjd för trädet under det här certifikatet. |
| -lPolicyLink | Länk till principinformation för SPC-agentur (till exempel en URL). |
| -mnMonths | Giltighetsperiodens varaktighet. |
| -n"Name" | Namn på utgivarens certifikat. Det här namnet måste överensstämma med X.500 standard. Den enklaste metoden är att använda formatet "CN=MyName". Till exempel: -n "CN=Test". |
| -nscp | Netscape-klientautentiseringstillägget bör inkluderas. |
| -pe | Markerar den privata nyckeln som exporterbar. |
| -r | Skapar ett självsignerat certifikat. |
| -scSubjectCertFile | Certifikatfilens namn med den befintliga offentliga ämnesnyckeln som ska användas. |
| -skSubjectKey | Platsen för ämnesnyckelcontainern som innehåller den privata nyckeln. Om det inte finns någon nyckelcontainer skapas en. Om varken alternativet -sk eller -sv används skapas och används en standardnyckelcontainer som standard. |
| -skySubjectKeySpec | Ämnesnyckelspecifikation.
SubjectKeySpec måste vara ett av tre möjliga värden:
|
| -spSubjectProviderName | CryptoAPI-provider för ämne. Standardvärdet är användarens provider. Information om CryptoAPI-leverantörer finns i dokumentationen om CryptoAPI 2.0. |
| -srSubjectCertStoreLocation | Registerplats för certifikatarkivet för certifikatmottagaren. SubjectCertStoreLocation måste vara antingen LocalMachine (registernyckel HKEY_LOCAL_MACHINE) eller CurrentUser (registernyckel HKEY_CURRENT_USER). CurrentUser är standard. |
| -ssSubjectCertStoreName | Namnet på certifikatarkivet för certifikatmottagaren där det genererade certifikatet ska lagras. |
| -svSubjectKeyFile | Namnet på ämnets .pvk-fil. Om varken alternativet -sk eller -sv används skapas och används en standardnyckelcontainer som standard. |
| -synSubjectProviderType | KryptoAPI-providertyp för ämne. Standardvärdet är PROV_RSA_FULL. Information om typer av CryptoAPI-provider finns i dokumentationen om CryptoAPI 2.0. |
| -# SerialNumber | Certifikatets serienummer. Det maximala värdet är 2^31. Standardvärdet är ett värde som genereras av verktyget som garanterat är unikt. |
| -$ CertificateAuthority | Typ av certifikatutfärdare. CertificateAuthority måste anges till antingen kommersiella (för certifikat som ska användas av kommersiella programvaruutgivare) eller enskilda (för certifikat som ska användas av enskilda programvaruutgivare). |
| ? | Visar de grundläggande alternativen. |
| -! | Visar de utökade alternativen. |
Not
Om alternativet -sky nyckelspecifikation används i Internet Explorer version 4.0 eller senare måste specifikationen matcha nyckelspecifikationen som anges av privata nyckel fil eller privat nyckelcontainer. Om alternativet för nyckelspecifikation inte används används nyckelspecifikationen som anges av den privata nyckelfilen eller containern för privat nyckel. Om det finns mer än en nyckelspecifikation i nyckelcontainern försöker MakeCert först använda AT_SIGNATURE nyckelspecifikationen. Om det misslyckas försöker MakeCert använda AT_KEYEXCHANGE. Eftersom de flesta användare antingen har en AT_SIGNATURE nyckel eller en AT_KEYEXCHANGE nyckel behöver det här alternativet inte användas i de flesta fall.
Följande alternativ gäller endast för SPC-filer (Software Publisher Certificate) och privat nyckelteknik.
| Alternativ för SPC och privat nyckel | Beskrivning |
|---|---|
| -icIssuerCertFile | Plats för utfärdarens certifikat. |
| -ikIssuerKey | Plats för utfärdarens nyckelcontainer. Standardvärdet är testrotnyckeln. |
| -ikyIssuerKeySpec | Utfärdarens nyckelspecifikation, som måste vara ett av tre möjliga värden:
|
| -ipIssuerProviderName | CryptoAPI-provider för utfärdare. Standardvärdet är användarens provider. Information om CryptoAPI-leverantörer finns i dokumentationen om CryptoAPI 2.0. |
| -ivIssuerKeyFile | Utfärdarens privata nyckelfil. Standardvärdet är testroten. |
| -iynIssuerProviderType | KryptoAPI-providertyp för utfärdare. Standardvärdet är PROV_RSA_FULL. Information om typer av CryptoAPI-provider finns i dokumentationen om CryptoAPI 2.0. |
Not
Om alternativet -iky nyckelspecifikation används i Internet Explorer 4.0 eller senare måste specifikationen matcha nyckelspecifikationen som anges av privata nyckel fil eller privat nyckelcontainer. Om alternativet för nyckelspecifikation inte används används nyckelspecifikationen som anges av den privata nyckelfilen eller containern för privat nyckel. Om det finns mer än en nyckelspecifikation i nyckelcontainern försöker MakeCert först använda AT_SIGNATURE nyckelspecifikationen. Om det misslyckas försöker MakeCert använda AT_KEYEXCHANGE. Eftersom de flesta användare antingen har en AT_SIGNATURE nyckel eller en AT_KEYEXCHANGE nyckel behöver det här alternativet inte användas i de flesta fall.
Följande alternativ gäller endast för certifikatarkiv teknik.
| Alternativ för certifikatarkiv | Beskrivning |
|---|---|
| -icIssuerCertFile | Fil som innehåller utfärdarens certifikat. MakeCert söker i certifikatarkivet efter ett certifikat med en exakt matchning. |
| iIssuerNameString | Eget namn på utfärdarens certifikat. MakeCert söker i certifikatarkivet efter ett certifikat vars gemensamma namn innehåller IssuerNameString. |
| -irIssuerCertStoreLocation | Registerplats för utfärdarens certifikatarkiv. IssuerCertStoreLocation måste vara antingen LocalMachine (registernyckel HKEY_LOCAL_MACHINE) eller CurrentUser (registernyckel HKEY_CURRENT_USER). CurrentUser är standard. |
| -isIssuerCertStoreName | Utfärdarens certifikatarkiv som innehåller utfärdarens certifikat och tillhörande privat nyckelinformation. Om det finns fler än ett certifikat i arkivet måste användaren unikt identifiera det med hjälp av alternativet -ic eller -in. Om certifikatet i certifikatarkivet inte identifieras unikt misslyckas MakeCert. |