MakeCert
注意
MakeCert 已被取代。 若要建立自我簽署憑證,請使用 Powershell Cmdlet New-SelfSignedCertificate。
MakeCert 工具會建立 X.509 憑證,該憑證是由測試根目錄金鑰或其他指定的金鑰所簽署,將名稱系結至金鑰組的公開部分。 憑證會儲存至檔案、系統憑證存放區或兩者。 此工具會安裝在 Microsoft Windows 軟體發展工具組 (SDK) 安裝路徑的 \Bin 資料夾中。
MakeCert 工具使用下列命令語法:
MakeCert [BasicOptions|ExtendedOptions] OutputFile
OutputFile 是將寫入憑證的檔案名。 如果憑證未寫入檔案,您可以省略 OutputFile 。
選項
MakeCert 包含基本和擴充選項。 基本選項是最常用來建立憑證的選項。 擴充選項則提供更多彈性。
MakeCert 的選項也會分成三個功能群組:
- 僅限憑證存放區技術的基本選項。
- 僅限 SPC 檔案和私密金鑰技術的特定擴充選項。
- 適用于 SPC 檔案、私密金鑰和憑證存放區技術的擴充選項。
下表提供的選項只能與 Internet Explorer 4.0 或更新版本搭配使用。
基本選項 | 描述 |
---|---|
-a演算法 | 雜湊 演算法。 必須設定為 SHA-1 或 MD5 (預設) 。 如需 MD5 的相關資訊,請參閱 MD5。 |
-BDateStart | 憑證第一次生效的日期。 預設值是建立憑證時。 DateStart的格式為 mm/dd/yyyy。 |
-cyCertificateTypes | 憑證類型。 CertificateTypes可以是 end-entity 或憑證授權單位單位的結尾。 |
-eDateEnd | 有效期間結束的日期。 預設值為 2039 年。 |
-ekuOID1,OID2 ... | 將一或多個逗號分隔的 增強金鑰使用物件識別碼 清單, (OID) 插入憑證中。 例如, -eku 1.3.6.1.5.5.7.3.2 會插入用戶端驗證 OID。 如需允許 OID 的定義,請參閱 CryptoAPI 2.0 中的 Wincrypt.h 檔案。 |
-HNumChildren | 此憑證下方樹狀結構的最大高度。 |
-我PolicyLink | 例如 URL) (SPC 機構原則資訊的連結。 |
-mnMonths | 有效期間的持續時間。 |
-n「Name」 | 發行者憑證的名稱。 此名稱必須符合 X.500 標準。 最簡單的方法是使用 「CN=MyName」 格式。 例如:-n 「CN=Test」。 |
-nscp | 應該包含 Netscape 用戶端驗證延伸模組。 |
-體育 | 將私密金鑰標示為可匯出。 |
-r | 建立自我簽署憑證。 |
-ScSubjectCertFile | 憑證檔案名,其中包含要使用的現有主體公開金鑰。 |
-SkSubjectKey | 主旨金鑰容器的位置,該容器會保存 私密金鑰。 如果金鑰容器不存在,便會建立一個。 如果未使用 -sk 或 -sv 選項,預設會建立並使用預設金鑰容器。 |
-天空SubjectKeySpec | 主體的金鑰規格。 SubjectKeySpec 必須是三個可能值的其中一個:
|
-SpSubjectProviderName | 主體的 CryptoAPI 提供者。 預設值為使用者的提供者。 如需 CryptoAPI 提供者的相關資訊,請參閱 CryptoAPI 2.0 檔。 |
-鍶SubjectCertStoreLocation | 主體憑證存放區的登錄位置。 SubjectCertStoreLocation 必須是 LocalMachine (登錄機碼HKEY_LOCAL_MACHINE) 或 CurrentUser (登錄機碼HKEY_CURRENT_USER) 。 CurrentUser 是預設值。 |
-ssSubjectCertStoreName | 將儲存所產生憑證之主體憑證存放區的名稱。 |
-SvSubjectKeyFile | 主體 .pvk 檔案的名稱。 如果未使用 -sk 或 -sv 選項,預設會建立並使用預設金鑰容器。 |
-SynSubjectProviderType | 主體的 CryptoAPI 提供者類型。 預設值 為 PROV_RSA_FULL。 如需 CryptoAPI 提供者類型的相關資訊,請參閱 CryptoAPI 2.0 檔。 |
-#SerialNumber | 憑證的序號。 最大值為 2^31。 預設值是工具所產生的值,保證是唯一的。 |
-$CertificateAuthority | 憑證授權單位單位的類型。 CertificateAuthority 必須設定為 商業 (,商業軟體發行者) 或 個別 (,才能讓個別軟體發行者) 使用的憑證。 |
-? | 顯示基本選項。 |
-! | 顯示擴充選項。 |
注意
如果在 Internet Explorer 4.0 版或更新版本中使用-sky金鑰規格選項,則規格必須符合私密金鑰檔案或私密金鑰容器所指示的金鑰規格。 如果未使用金鑰規格選項,則會使用私密金鑰檔案或私密金鑰容器所指示的金鑰規格。 如果金鑰容器中有多個金鑰規格,MakeCert 會先嘗試使用AT_SIGNATURE金鑰規格。 如果失敗,MakeCert 會嘗試使用 AT_KEYEXCHANGE。 由於大部分的使用者都有AT_SIGNATURE金鑰或AT_KEYEXCHANGE金鑰,因此在大部分情況下,不需要使用此選項。
下列選項僅適用于 軟體發行者憑證 (SPC) 檔案和私密金鑰技術。
SPC 和私密金鑰選項 | 描述 |
---|---|
-IcIssuerCertFile | 簽發者憑證的位置。 |
-益IssuerKey | 簽發者的金鑰容器位置。 預設值為測試根目錄金鑰。 |
-ikyIssuerKeySpec | 簽發者的金鑰規格,必須是三個可能值的其中一個:
|
-IpIssuerProviderName | 簽發者的 CryptoAPI 提供者。 預設值為使用者的提供者。 如需 CryptoAPI 提供者的相關資訊,請參閱 CryptoAPI 2.0 檔。 |
-四IssuerKeyFile | 簽發者的私密金鑰檔案。 預設值為測試根目錄。 |
-iynIssuerProviderType | 簽發者的 CryptoAPI 提供者類型。 預設值為 PROV_RSA_FULL。 如需 CryptoAPI 提供者類型的相關資訊,請參閱 CryptoAPI 2.0 檔。 |
注意
如果在 Internet Explorer 4.0 或更新版本中使用-iky金鑰規格選項,則規格必須符合私密金鑰檔案或私密金鑰容器所指示的金鑰規格。 如果未使用金鑰規格選項,則會使用私密金鑰檔案或私密金鑰容器所指示的金鑰規格。 如果金鑰容器中有多個金鑰規格,MakeCert 會先嘗試使用AT_SIGNATURE金鑰規格。 如果失敗,MakeCert 會嘗試使用 AT_KEYEXCHANGE。 由於大部分的使用者都有AT_SIGNATURE金鑰或AT_KEYEXCHANGE金鑰,因此在大部分情況下,不需要使用此選項。
下列選項僅適用于 憑證存放區 技術。
憑證存放區選項 | 描述 |
---|---|
-icIssuerCertFile | 包含簽發者憑證的檔案。 MakeCert 會在憑證存放區中搜尋完全相符的憑證。 |
-inIssuerNameString | 簽發者憑證的一般名稱。 MakeCert 會在憑證存放區中搜尋其一般名稱包含 IssuerNameString的憑證。 |
-irIssuerCertStoreLocation | 簽發者憑證存放區的登錄位置。 IssuerCertStoreLocation 必須是 LocalMachine (登錄機碼HKEY_LOCAL_MACHINE) 或 CurrentUser (登錄機碼HKEY_CURRENT_USER) 。 CurrentUser 是預設值。 |
-isIssuerCertStoreName | 簽發者的憑證存放區,其中包含簽發者的憑證及其相關聯的私密金鑰資訊。 如果存放區中有一個以上的憑證,使用者必須使用 -ic 或 -in 選項來唯一識別它。 如果憑證存放區中的憑證未唯一識別,MakeCert 將會失敗。 |
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應