Herramienta Creación de certificados (Makecert.exe)

Esta herramienta genera certificados X.509 sólo a efectos de pruebas. Crea un par de claves pública y privada para firmas digitales y las almacena en un archivo de certificado. También asocia el par de claves al nombre especificado de una compañía y crea un certificado X.509 que enlaza el nombre especificado por un usuario con la parte pública del par de claves.

Makecert.exe incluye opciones básicas y extendidas. Las opciones básicas son las que se utilizan más frecuentemente para crear un certificado. Las opciones extendidas proporcionan más flexibilidad.

Las claves privadas de certificado generadas por esta herramienta no deben almacenarse nunca en archivos .snk. Si debe almacenar una clave privada, utilice un contenedor de claves. Para obtener más información sobre cómo almacenar una clave privada en un contenedor de claves, vea Cómo: Almacenar claves asimétricas en un contenedor de claves.

Nota de precauciónPrecaución

Debe utilizar un almacén de certificados para almacenar sus certificados de forma segura. Los archivos .snk utilizados por esta herramienta almacenan las claves privadas sin protección. Cuando cree o importe un archivo .snk, no olvide protegerlo durante su uso y eliminarlo cuando haya terminado.

makecert [options] outputCertificateFile
Argumento Descripción

outputCertificateFile

Nombre del archivo .cer donde se escribirá el certificado X.509 de prueba.

Opciones básicas


Opción Descripción

-n x509name

Especifica el nombre de certificado del sujeto. Este nombre debe cumplir la norma X.500. El método más sencillo consiste en especificar el nombre entre comillas, precedido de CN=; por ejemplo, "CN=miNombre".

-pe

Marca como exportable la clave privada generada. Esto permite que dicha clave se incluya en el certificado.

-sk keyname

Especifica la ubicación del contenedor de claves del sujeto, que contiene la clave privada. Si no existe un contenedor de claves, se creará uno.

-sr location

Especifica la ubicación del almacén de certificados del sujeto. Location puede ser currentuser (valor predeterminado) o localmachine.

-ss store

Especifica el nombre del almacén de certificados del sujeto que almacena el certificado de salida.

-# number

Especifica un número de serie comprendido entre 1 y 2.147.483.647. El valor predeterminado es un valor único generado por Makecert.exe.

-$ authority

Especifica la autoridad de firmas del certificado, que debe establecerse en commercial (para certificados utilizados por compañías comerciales de software) o individual (para certificados utilizados por compañías individuales de software).

-?

Muestra la sintaxis de comandos y una lista de opciones básicas para la herramienta.

-!

Muestra la sintaxis de comandos y una lista de opciones extendidas para la herramienta.

Opciones extendidas

Opción Descripción

-a algorithm

Especifica el algoritmo de firma. Debe ser md5 (valor predeterminado) o sha1.

-b mm/dd/yyyy

Especifica el principio del período de validez. El valor predeterminado es la fecha de creación del certificado.

-cy certType

Especifica el tipo de certificado. Los valores válidos son end para la entidad final y authority para la entidad emisora de certificados.

-d name

Muestra el nombre del sujeto.

-e mm/dd/yyyy

Especifica el final del período de validez. El valor predeterminado es 12/31/2039 11:59:59 GMT.

-eku oid[,oid]

Inserta en el certificado una lista de identificadores de objetos (OID) para uso mejorado de claves, separados por comas.

-h number

Especifica el alto máximo del árbol debajo de este certificado.

-ic file

Especifica el archivo de certificado del emisor.

-ik keyName

Especifica el nombre del contenedor de claves del emisor.

-iky keytype

Especifica el tipo de clave del emisor, que debe ser signature, exchange o un número entero que represente un tipo de proveedor. De forma predeterminada, puede pasar 1 para una clave de intercambio y 2 para una clave de firma.

-in name

Especifica el nombre común de certificado del emisor.

-ip provider

Especifica el nombre de proveedor CryptoAPI del emisor.

-ir location

Especifica la ubicación del almacén de certificados del emisor. Location puede ser currentuser (valor predeterminado) o localmachine.

-is store

Especifica el nombre del almacén de certificados del emisor.

-iv pvkFile

Especifica el archivo de clave privada .pvk del emisor.

-iy pvkFile

Especifica el tipo de proveedor CryptoAPI del emisor.

-l link

Establece un vínculo para la información de directivas (por ejemplo, una dirección URL).

-m number

Especifica la duración en meses del período de validez del certificado.

-nscp

Incluye la extensión de la autorización de cliente Netscape.

-r

Crea un certificado con firma automática.

-sc file

Especifica el archivo de certificado del sujeto.

-sky keytype

Especifica el tipo de clave del sujeto, que debe ser signature, exchange o un número entero que represente un tipo de proveedor. De forma predeterminada, puede pasar 1 para una clave de intercambio y 2 para una clave de firma.

-sp provider

Especifica el nombre de proveedor CryptoAPI del sujeto.

-sv pvkFile

Especifica el archivo de clave privada .pvk del sujeto. Si no existe archivo, se creará uno.

-sy type

Especifica el tipo de proveedor CryptoAPI del sujeto.

Ejemplos

El comando siguiente crea un certificado de prueba emitido por la raíz de prueba predeterminada y lo escribe en testCert.cer.

makecert testCert.cer

El comando siguiente crea un certificado emitido por la raíz de prueba predeterminada y lo guarda en un almacén de certificados.

makecert -ss testCertStore

El comando siguiente crea un certificado emitido por la raíz de prueba predeterminada y lo guarda en un almacén de certificados. Coloca el certificado de forma explícita en el almacén currentuser.

makecert -ss testCertStore -sr currentuser

El comando siguiente crea un certificado de prueba y lo escribe en textXYZ.cer, utilizando el contenedor de claves del sujeto y su nombre de certificado conforme a la norma X.500.

makecert -sk XYZ -n "CN=XYZ Company" testXYZ.cer 

El comando siguiente crea un certificado emitido por la raíz de prueba predeterminada, crea un archivo .pvk y coloca el certificado en el almacén y en el archivo.

makecert -sv testCert.pvk -ss testCertStore testCert.cer

El comando siguiente crea un certificado emitido por la raíz de prueba predeterminada, crea un contenedor de claves y coloca el certificado en el almacén y en el archivo.

makecert -sk myTestKey -ss testCertStore testCert.cer

El siguiente comando crea un certificado con firma automática, especifica el nombre de un sujeto de "CN=XYZ Company", especifica los períodos de validez inicial y final, coloca la clave en el almacén my, especifica e intercambia la clave y hace que la clave privada se pueda exportar.

makecert -r -pe -n "CN=XYZ Company" -b 01/01/2005 -e 01/01/2010 -sky exchange -ss my

Los comandos siguientes crean certificados y los guardan en almacenes. El primer comando crea un certificado mediante la raíz de prueba predeterminada y lo guarda en un almacén. El segundo comando crea otro certificado utilizando el certificado creado con anterioridad y guarda este segundo certificado en otro almacén.

makecert -sk myTestKey -ss testCertStore
makecert -is testCertStore -ss anotherTestStore

Los comandos siguientes crean certificados y los guardan en almacenes. El primer comando guarda el certificado en el almacén my. El segundo comando crea otro certificado utilizando el certificado creado con anterioridad. Dado que hay más de un certificado en el almacén my, el segundo comando identifica el primer certificado mediante su nombre común.

makecert -sk myTestKey -n "CN=XXZZYY" -ss my
makecert -is my -in "XXZZYY" -ss anotherTestStore

Los comandos siguientes crean certificados y los guardan en archivos y almacenes. El primer comando crea un certificado mediante la raíz de prueba predeterminada y lo guarda en el almacén my y en un archivo. El segundo comando crea otro certificado utilizando el certificado testCert.cer creado con anterioridad. Dado que hay más de un certificado en el almacén my, el segundo comando identifica únicamente el primer certificado mediante su nombre de archivo.

makecert -sk myTestKey -n "CN=XXZZYY" -ss my testCert.cer
makecert -is my -ic testCert.cer -ss anotherTestStore

Vea también

Referencia

Herramientas de .NET Framework
Herramienta de prueba de certificados de compañía de software (Cert2spc.exe)
Símbolo del sistema de SDK