Makecert

Nota

MakeCert è deprecato. Per creare certificati autofirmati, usare il cmdlet di PowerShell New-SelfSignedCertificate.

Lo strumento MakeCert crea un certificato X.509, firmato dalla chiave radice di test o da un'altra chiave specificata, che associa il nome alla parte pubblica della coppia di chiavi. Il certificato viene salvato in un file, in un archivio certificati di sistema o in entrambi. Lo strumento viene installato nella cartella Bin del percorso di \ installazione di Microsoft Windows Software Development Kit (SDK).

Lo strumento MakeCert usa la sintassi di comando seguente:

MakeCert [ Opzioni di base | ExtendedOptions ] OutputFile

OutputFile è il nome del file in cui verrà scritto il certificato. È possibile omettere OutputFile se il certificato non deve essere scritto in un file.

Opzioni

MakeCert include opzioni di base ed estese. Le opzioni di base sono quelle più frequentemente usate nella creazione di certificati. Le opzioni estese offrono una maggiore flessibilità.

Le opzioni per MakeCert sono suddivise anche in tre gruppi funzionali:

  • Opzioni di base specifiche della tecnologia dell'archivio certificati.
  • Opzioni estese specifiche della tecnologia SPC-file e della chiave privata.
  • Opzioni estese applicabili alla tecnologia SPC-file, chiave privata e archivio certificati.

Le opzioni disponibili nelle tabelle seguenti possono essere usate solo con Internet Explorer 4.0 o versione successiva.

Opzione di base Descrizione
-a Algoritmo Algoritmo hash. Deve essere impostato su SHA-1 o MD5 (impostazione predefinita). Per informazioni su MD5, vedere MD5.
-b DateStart Data in cui il certificato diventa valido per la prima volta. Il valore predefinito è quando viene creato il certificato. Il formato di DateStart è mm/gg/aaaa.
-cy Tipi di certificato Tipo di certificato. CertificateTypes può essere l'entità finale o l'autorità per l'autorità di certificazione.
-e DateEnd Data di fine del periodo di validità. Il valore predefinito è l'anno 2039.
-eku OID1,OID2 ... Inserisce nel certificato un elenco di uno o più identificatori OID (Key UsageObject Identifier) delimitati da virgole e migliorati. Ad esempio, -eku 1.3.6.1.5.5.7.3.2 inserisce l'OID di autenticazione client. Per le definizioni degli OID consentiti, vedere il file Wincrypt.h in CryptoAPI 2.0.
-h NumChildren Altezza massima dell'albero sotto questo certificato.
-l Collegamento criteri Collegamento alle informazioni sui criteri dell'agenzia SPC (ad esempio, un URL).
-m nMonths Durata del periodo di validità.
-n"Nome" Nome del certificato dell'editore. Questo nome deve essere conforme allo standard X.500. Il metodo più semplice è usare il formato "CN=MyName". Ad esempio: -n "CN=Test".
-nscp È necessario includere l'estensione di autenticazione client Netscape.
-pe Contrassegna la chiave privata come esportabile.
-r Crea un certificato autofirmato.
-sc SubjectCertFile Nome file del certificato con la chiave pubblica del soggetto esistente da usare.
-sk Chiave oggetto Posizione del contenitore di chiavi dell'oggetto che contiene la chiave privata. Se non esiste alcun contenitore di chiavi, ne viene creato uno. Se non si usa l'opzione -sk o -sv, per impostazione predefinita viene creato e usato un contenitore di chiavi predefinito.
-sky SubjectKeySpec Specifica della chiave del soggetto. SubjectKeySpec deve essere uno dei tre valori possibili:
  • Firma (AT_SIGNATURE specifica della chiave)
  • Exchange (specifica AT_KEYEXCHANGE chiave)
  • Numero intero, ad esempio 3
Per altre informazioni, vedere la nota che segue questa tabella.
-sp SubjectProviderName Provider CryptoAPI per l'oggetto. Il valore predefinito è il provider dell'utente. Per informazioni sui provider CryptoAPI, vedere la documentazione CryptoAPI 2.0.
-sr SubjectCertStoreLocation Percorso del Registro di sistema dell'archivio certificati del soggetto. SubjectCertStoreLocation deve essere LocalMachine (chiave del Registro di sistema HKEY_LOCAL_MACHINE) o CurrentUser (chiave del Registro di HKEY_CURRENT_USER). CurrentUser è l'impostazione predefinita.
-ss SubjectCertStoreName Nome dell'archivio certificati del soggetto in cui verrà archiviato il certificato generato.
-sv SubjectKeyFile Nome del file con estensione pvk dell'oggetto. Se non si usa l'opzione -sk o -sv, per impostazione predefinita viene creato e usato un contenitore di chiavi predefinito.
-sy nSubjectProviderType Tipo di provider CryptoAPI per subject. Il valore predefinito è PROV_RSA_FULL. Per informazioni sui tipi di provider CryptoAPI, vedere la documentazione CryptoAPI 2.0.
-#Serialnumber Numero di serie del certificato. Il valore massimo è 2^31. Il valore predefinito è un valore generato dallo strumento che è garantito come univoco.
-$CertificateAuthority Tipo di autorità di certificazione. CertificateAuthority deve essere impostato su commerciale (per i certificati che devono essere usati da editori di software commerciali) o su singolo (per i certificati che devono essere usati da singoli editori di software).
-? Visualizza le opzioni di base.
-! Visualizza le opzioni estese.

Nota

Se l'opzione -sky key specification viene usata in Internet Explorer versione 4.0 o successiva, la specifica deve corrispondere alla specifica della chiave indicata dal file di chiave privata o dal contenitore di chiavi private. Se non si usa l'opzione di specifica della chiave, verrà usata la specifica della chiave indicata dal file di chiave privata o dal contenitore di chiavi private. Se nel contenitore di chiavi è presente più di una specifica di chiave, MakeCert tenterà prima di tutto di usare la specifica della chiave AT _ SIGNATURE. Se l'operazione non riesce, MakeCert tenterà di usare AT _ KEYEXCHANGE. Poiché la maggior parte degli utenti ha una chiave AT SIGNATURE o una chiave AT KEYEXCHANGE, questa opzione non deve essere usata _ nella maggior parte dei _ casi.

Le opzioni seguenti sono disponibili solo per i file SPC (Software Publisher Certificate) e la tecnologia della chiave privata.

Opzione SPC e chiave privata Descrizione
-ic IssuerCertFile Percorso del certificato dell'autorità emittente.
-ik IssuerKey Percorso del contenitore di chiavi dell'autorità emittente. Il valore predefinito è la chiave radice di test.
-iky IssuerKeySpec Specifica della chiave dell'autorità emittente, che deve essere uno dei tre valori possibili:
  • Firma (AT_SIGNATURE specifica della chiave)
  • Exchange (AT_KEYEXCHANGE della chiave)
  • Intero, ad esempio 3
Per altre informazioni, vedere la nota che segue questa tabella.
-ip IssuerProviderName Provider CryptoAPI per l'autorità di emittente. Il valore predefinito è il provider dell'utente. Per informazioni sui provider CryptoAPI, vedere la documentazione CryptoAPI 2.0.
-iv IssuerKeyFile File di chiave privata dell'autorità emittente. Il valore predefinito è la radice di test.
-iy nIssuerProviderType Tipo di provider CryptoAPI per l'autorità di emittente. Il valore predefinito è PROV_RSA_FULL. Per informazioni sui tipi di provider CryptoAPI, vedere la documentazione CryptoAPI 2.0.

Nota

Se l'opzione -iky key specification viene usata in Internet Explorer 4.0 o versione successiva, la specifica deve corrispondere alla specifica della chiave indicata dal file di chiave privata o dal contenitore di chiavi private. Se l'opzione di specifica della chiave non viene usata, verrà usata la specifica della chiave indicata dal file di chiave privata o dal contenitore di chiavi private. Se nel contenitore di chiavi è presente più di una specifica di chiave, MakeCert tenterà prima di tutto di usare la specifica della chiave AT _ SIGNATURE. Se l'operazione non riesce, MakeCert tenterà di usare AT _ KEYEXCHANGE. Poiché la maggior parte degli utenti ha una chiave AT SIGNATURE o una chiave AT KEYEXCHANGE, questa opzione non deve essere usata _ nella maggior parte dei _ casi.

Le opzioni seguenti sono solo per la tecnologia dell'archivio certificati.

Opzione archivio certificati Descrizione
-ic IssuerCertFile File che contiene il certificato dell'autorità emittente. MakeCert cerca nell'archivio certificati un certificato con una corrispondenza esatta.
-in IssuerNameString Nome comune del certificato dell'autorità emittente. MakeCert cerca nell'archivio certificati un certificato il cui nome comune include IssuerNameString.
-ir IssuerCertStoreLocation Percorso del Registro di sistema dell'archivio certificati dell'autorità di certificazione. IssuerCertStoreLocation deve essere LocalMachine (chiave del Registro di sistema HKEY LOCAL MACHINE) o CurrentUser (chiave del Registro di sistema _ _ HKEY CURRENT _ _ USER). CurrentUser è l'impostazione predefinita.
-is IssuerCertStoreName Archivio certificati dell'autorità di certificazione che include il certificato dell'autorità di certificazione e le informazioni sulla chiave privata associata. Se nell'archivio sono presenti più certificati, l'utente deve identificarlo in modo univoco usando l'opzione -ic o -in. Se il certificato nell'archivio certificati non è identificato in modo univoco, MakeCert avrà esito negativo.