MakeCert
Hinweis
MakeCert ist veraltet. Verwenden Sie zum Erstellen selbstsignierter Zertifikate das PowerShell-Cmdlet New-SelfSignedCertificate.
Das MakeCert-Tool erstellt ein vom Teststammschlüssel oder einem anderen angegebenen Schlüssel signiertes X.509-Zertifikat , das Ihren Namen an den öffentlichen Teil des Schlüsselpaars bindet. Das Zertifikat wird in einer Datei, einem Systemzertifikatspeicher oder beidem gespeichert. Das Tool wird im Ordner \Bin des Installationspfads des Microsoft Windows Software Development Kit (SDK) installiert.
Das MakeCert-Tool verwendet die folgende Befehlssyntax:
MakeCert [BasicOptions|ExtendedOptions] OutputFile
OutputFile ist der Name der Datei, in die das Zertifikat geschrieben wird. Sie können OutputFile weglassen, wenn das Zertifikat nicht in eine Datei geschrieben werden soll.
Optionen
MakeCert umfasst grundlegende und erweiterte Optionen. Meistens werden die Basisoptionen zum Erstellen von Zertifikaten verwendet. Die erweiterten Optionen stellen eine höhere Flexibilität zur Verfügung.
Die Optionen für MakeCert sind auch in drei Funktionsgruppen unterteilt:
- Grundlegende Optionen, die nur für die Zertifikatspeichertechnologie gelten.
- Erweiterte Optionen speziell für SPC-Datei- und Private Key-Technologie.
- Erweiterte Optionen für SPC-Datei, private Schlüssel und Zertifikatspeichertechnologie.
Optionen in den folgenden Tabellen können nur mit Internet Explorer 4.0 oder höher verwendet werden.
Basic-Option | Beschreibung |
---|---|
-EineAlgorithmus | Hashalgorithmus . Muss entweder auf SHA-1 oder MD5 (Standard) festgelegt werden. Informationen zu MD5 finden Sie unter MD5. |
-BDateStart | Datum, an dem das Zertifikat zum ersten Mal gültig wird. Die Standardeinstellung ist, wenn das Zertifikat erstellt wird. Das Format von DateStart ist mm/tt/jjjj. |
-CyCertificateTypes | Zertifikattyp. CertificateTypes können end für end-entity oder authority for certification authority sein. |
-EDateEnd | Datum, an dem der Gültigkeitszeitraum endet. Der Standardwert ist das Jahr 2039. |
-EkuOID1,OID2 ... | Fügt eine Liste mit einem oder mehreren durch Trennzeichen getrennten, erweiterten Objektbezeichnern für die Schlüsselverwendung (OIDs) in das Zertifikat ein. Beispielsweise fügt -eku 1.3.6.1.5.5.7.3.2 die Clientauthentifizierungs-OID ein. Definitionen zulässiger OIDs finden Sie in der Datei Wincrypt.h in CryptoAPI 2.0. |
-HNumChildren | Maximale Höhe der Struktur unterhalb dieses Zertifikats. |
-LPolicyLink | Link zu Richtlinieninformationen der SPC-Agentur (z. B. eine URL). |
-MnMonate | Dauer des Gültigkeitszeitraums. |
-n"Name" | Name für das Zertifikat des Herausgebers. Dieser Name muss dem X.500-Standard entsprechen. Die einfachste Methode ist die Verwendung des Formats "CN=MyName". Beispiel: -n "CN=Test". |
-nscp | Die Netscape-Clientauthentifizierungserweiterung sollte enthalten sein. |
-Pe | Markiert den privaten Schlüssel als exportierbar. |
-r | Erstellen eines selbstsignierten Zertifikats |
-ScSubjectCertFile | Zertifikatdateiname mit dem vorhandenen öffentlichen Schlüssel des Antragstellers, der verwendet werden soll. |
-SkSubjectKey | Speicherort des Schlüsselcontainers des Antragstellers, der den privaten Schlüssel enthält. Wenn kein Schlüsselcontainer vorhanden ist, wird ein Schlüsselcontainer erstellt. Wenn weder die Option -sk noch -sv verwendet wird, wird ein Standardschlüsselcontainer erstellt und standardmäßig verwendet. |
-HimmelSubjectKeySpec | Schlüsselspezifikation des Antragstellers. SubjectKeySpec muss einer von drei möglichen Werten sein:
|
-SpSubjectProviderName | CryptoAPI-Anbieter für Betreff. Der Standardwert ist der Anbieter des Benutzers. Informationen zu CryptoAPI-Anbietern finden Sie in der Dokumentation zu CryptoAPI 2.0. |
-SrSubjectCertStoreLocation | Registrierungsspeicherort des Zertifikatspeichers des Antragstellers. SubjectCertStoreLocation muss entweder LocalMachine (Registrierungsschlüssel HKEY_LOCAL_MACHINE) oder CurrentUser (Registrierungsschlüssel HKEY_CURRENT_USER) sein. CurrentUser ist die Standardeinstellung. |
-SsSubjectCertStoreName | Name des Zertifikatspeichers des Antragstellers, in dem das generierte Zertifikat gespeichert wird. |
-SvSubjectKeyFile | Name der PVK-Datei des Antragstellers. Wenn weder die Option -sk noch -sv verwendet wird, wird ein Standardschlüsselcontainer erstellt und standardmäßig verwendet. |
-SynSubjectProviderType | CryptoAPI-Anbietertyp für Betreff. Der Standardwert ist PROV_RSA_FULL. Informationen zu CryptoAPI-Anbietertypen finden Sie in der Dokumentation zu CryptoAPI 2.0. |
-#Serialnumber | Seriennummer des Zertifikats. Der Höchstwert ist 2^31. Der Standardwert ist ein vom Tool generierter Wert, der garantiert eindeutig ist. |
-$CertificateAuthority | Typ der Zertifizierungsstelle. CertificateAuthority muss entweder auf kommerzielle (für Zertifikate, die von kommerziellen Software-Herausgebern verwendet werden) oder einzeln (für Zertifikate, die von einzelnen Softwareverlegern verwendet werden) festgelegt werden. |
-? | Zeigt die grundlegenden Optionen an. |
-! | Zeigt die erweiterten Optionen an. |
Hinweis
Wenn die Option -sky key specification in Internet Explorer Version 4.0 oder höher verwendet wird, muss die Spezifikation mit der Schlüsselspezifikation übereinstimmen, die in der Datei mit dem privaten Schlüssel oder container für private Schlüssel angegeben wird. Wenn die Schlüsselspezifikationsoption nicht verwendet wird, wird die durch die Private Key-Datei oder den Container für private Schlüssel angegebene Schlüsselspezifikation verwendet. Wenn mehr als eine Schlüsselspezifikation im Schlüsselcontainer vorhanden ist, versucht MakeCert zunächst, die AT_SIGNATURE Schlüsselspezifikation zu verwenden. Wenn dies fehlschlägt, versucht MakeCert, AT_KEYEXCHANGE zu verwenden. Da die meisten Benutzer entweder über einen AT_SIGNATURE Schlüssel oder einen AT_KEYEXCHANGE Schlüssel verfügen, muss diese Option in den meisten Fällen nicht verwendet werden.
Die folgenden Optionen gelten nur für SPC-Dateien ( Software Publisher Certificate ) und private Schlüsseltechnologie.
Option "SPC und privater Schlüssel" | Beschreibung |
---|---|
-IcIssuerCertFile | Speicherort des Zertifikats des Ausstellers. |
-IkIssuerKey | Speicherort des Schlüsselcontainers des Ausstellers. Der Standard ist der Teststammschlüssel. |
-ikyIssuerKeySpec | Die Schlüsselspezifikation des Ausstellers, die einer von drei möglichen Werten sein muss:
|
-IpIssuerProviderName | CryptoAPI-Anbieter für Aussteller. Der Standardwert ist der Anbieter des Benutzers. Informationen zu CryptoAPI-Anbietern finden Sie in der Dokumentation zu CryptoAPI 2.0. |
-IvIssuerKeyFile | Datei des privaten Schlüssels des Ausstellers. Der Standardwert ist der Teststamm. |
-IynIssuerProviderType | CryptoAPI-Anbietertyp für Aussteller. Der Standardwert ist PROV_RSA_FULL. Informationen zu CryptoAPI-Anbietertypen finden Sie in der Dokumentation zu CryptoAPI 2.0. |
Hinweis
Wenn die Option -iky key specification in Internet Explorer 4.0 oder höher verwendet wird, muss die Spezifikation mit der Schlüsselspezifikation übereinstimmen, die durch die Private Key-Datei oder den Container für private Schlüssel angegeben wird. Wenn die Schlüsselspezifikationsoption nicht verwendet wird, wird die durch die Private Key-Datei oder den Container für private Schlüssel angegebene Schlüsselspezifikation verwendet. Wenn mehr als eine Schlüsselspezifikation im Schlüsselcontainer vorhanden ist, versucht MakeCert zunächst, die AT_SIGNATURE Schlüsselspezifikation zu verwenden. Wenn dies fehlschlägt, versucht MakeCert, AT_KEYEXCHANGE zu verwenden. Da die meisten Benutzer entweder über einen AT_SIGNATURE Schlüssel oder einen AT_KEYEXCHANGE Schlüssel verfügen, muss diese Option in den meisten Fällen nicht verwendet werden.
Die folgenden Optionen gelten nur für die Zertifikatspeichertechnologie .
Zertifikatspeicheroption | Beschreibung |
---|---|
-icIssuerCertFile | Datei, die das Zertifikat des Ausstellers enthält. MakeCert sucht im Zertifikatspeicher nach einem Zertifikat mit einer genauen Übereinstimmung. |
-inIssuerNameString | Allgemeiner Name des Zertifikats des Ausstellers. MakeCert sucht im Zertifikatspeicher nach einem Zertifikat, dessen allgemeiner Name IssuerNameString enthält. |
-irIssuerCertStoreLocation | Registrierungsspeicherort des Zertifikatspeichers des Ausstellers. IssuerCertStoreLocation muss entweder LocalMachine (Registrierungsschlüssel HKEY_LOCAL_MACHINE) oder CurrentUser (Registrierungsschlüssel HKEY_CURRENT_USER) sein. CurrentUser ist die Standardeinstellung. |
-isIssuerCertStoreName | Zertifikatspeicher des Ausstellers, der das Zertifikat des Ausstellers und die zugehörigen Privaten Schlüsselinformationen enthält. Wenn mehr als ein Zertifikat im Speicher vorhanden ist, muss der Benutzer es mithilfe der Option -ic oder -in eindeutig identifizieren. Wenn das Zertifikat im Zertifikatspeicher nicht eindeutig identifiziert wird, schlägt MakeCert fehl. |
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für