MakeCert
Remarque
MakeCert est déconseillé. Pour créer des certificats auto-signés, utilisez l'applet de commande Powershell New-SelfSignedCertificate.
L'outil MakeCert crée un certificat X.509, signé par la clé racine de test ou une autre clé spécifiée, qui lie votre nom à la partie publique de la paire de clés. Le certificat est enregistré dans un fichier, un magasin de certificats système ou les deux. L’outil est installé dans le dossier \Bin du chemin d’installation du kit de développement logiciel (SDK) Microsoft Windows.
L’outil MakeCert utilise la syntaxe de commande suivante :
MakeCert [BasicOptions|ExtendedOptions] OutputFile
OutputFile est le nom du fichier dans lequel le certificat sera écrit. Vous pouvez omettre OutputFile si le certificat ne doit pas être écrit dans un fichier.
Options
MakeCert inclut des options de base et étendues. Les options de base sont celles qui sont le plus couramment utilisées pour créer un certificat. Les options étendues offrent une plus grande flexibilité.
Les options de MakeCert sont également divisées en trois groupes fonctionnels :
- Options de base propres à la technologie du magasin de certificats uniquement.
- Options étendues propres aux technologies de fichier SPC et de clé privée uniquement.
- Options étendues applicables aux technologies de fichiers SPC, de clé privée et de magasin de certificats.
Les options fournies dans les tableaux suivants peuvent être utilisées uniquement avec Internet Explorer 4.0 ou version ultérieure.
| Option de base | Description |
|---|---|
| -aAlgorithm | Algorithme de hachage. Doit être défini sur SHA-1 ou MD5 (valeur par défaut). Pour plus d'informations sur MD5, consultez la section MD5. |
| -bDateStart | Date à laquelle le certificat devient valide pour la première fois. La valeur par défaut correspond à la date de création du certificat. Le format de DateStart est mm/jj/aaaa. |
| -cyCertificateTypes | Type de certificat. Les CertificateTypes peuvent être définis sur end, pour entité finale, ou sur authority, pour autorité de certification. |
| -eDateEnd | Date à laquelle la période de validité se termine. La valeur par défaut est l'année 2039. |
| -ekuOID1,OID2 … | Insère une liste d’un ou plusieurs identificateurs d’objets (OID) d’utilisation améliorée de la clé séparés par des virgules dans le certificat. Par exemple, -eku 1.3.6.1.5.5.7.3.2 insère l’OID d’authentification du client. Pour connaître les définitions d’OID autorisés, consultez le fichier Wincrypt.h dans CryptoAPI 2.0. |
| -hNumChildren | Hauteur maximale de l’arborescence située sous ce certificat. |
| -lPolicyLink | Lien vers les informations de stratégie de l’agence SPC (par exemple, une URL). |
| -mnMonths | Durée de la période de validité. |
| -n"Name" | Nom du certificat de l’éditeur. Ce nom doit être conforme à la norme X.500. La méthode la plus simple consiste à utiliser le format CN=MyName. For example: -n "CN=Test". |
| -nscp | L’extension d’authentification du client Netscape doit être incluse. |
| -pe | Marque la clé privée comme exportable. |
| -r | Crée un certificat auto-signé |
| -scSubjectCertFile | Nom de fichier de certificat avec la clé publique du sujet existante à utiliser. |
| -skSubjectKey | Emplacement du conteneur de clé du sujet comportant la clé privée. Un conteneur de clé sera créé s'il n'en existe aucun. Si aucune des options -sk ou -sv n'est utilisée, un conteneur de clé par défaut est créé et utilisé par défaut. |
| -skySubjectKeySpec | Spécification de clé du sujet. SubjectKeySpec doit être l’une des trois valeurs possibles :
|
| -spSubjectProviderName | Fournisseur CryptoAPI du sujet. La valeur par défaut est le fournisseur de l’utilisateur. Pour plus d’informations sur les fournisseurs CryptoAPI, consultez la documentation CryptoAPI 2.0. |
| -srSubjectCertStoreLocation | Emplacement du registre du magasin de certificats du sujet. SubjectCertStoreLocation doit être LocalMachine (clé de registre HKEY_LOCAL_MACHINE) ou CurrentUser (clé de registre HKEY_CURRENT_USER). La valeur par défaut est CurrentUser. |
| -ssSubjectCertStoreName | Nom du magasin de certificats du sujet dans lequel le certificat généré sera stocké. |
| -svSubjectKeyFile | Nom du fichier .pvk du sujet. Si aucune des options -sk ou -sv n'est utilisée, un conteneur de clé par défaut est créé et utilisé par défaut. |
| -synSubjectProviderType | Type de fournisseur CryptoAPI pour le sujet. La valeur par défaut est PROV_RSA_FULL. Pour plus d’informations sur les types de fournisseurs CryptoAPI, consultez la documentation CryptoAPI 2.0. |
| -#SerialNumber | Numéro de série du certificat. La valeur maximale est 2^31. La valeur par défaut est générée par l’outil qui est garanti comme unique. |
| -$CertificateAuthority | Type d’autorité de certification. CertificateAuthority doit être défini sur commercial (pour que les certificats soient utilisés par les éditeurs de logiciels commerciaux) ou individual (pour que les certificats soient utilisés par des éditeurs de logiciels individuels). |
| -? | Affiche les options de base. |
| -! | Affiche les options étendues. |
Remarque
Si l’option de spécification de clé -sky est utilisée dans Internet Explorer version 4.0 ou ultérieure, la spécification doit correspondre à la spécification de clé indiquée par le fichier de clé privée ou le conteneur de clés privées. Si l’option de spécification de clé n’est pas utilisée, la spécification de clé indiquée par le fichier de clé privée ou le conteneur de clés privées sera utilisée. S’il existe plusieurs spécifications de clé dans le conteneur de clés, MakeCert tente d’abord d’utiliser la spécification de clé AT_SIGNATURE. En cas d’échec, MakeCert tente d’utiliser AT_KEYEXCHANGE. Étant donné que la plupart des utilisateurs disposent d’une clé AT_SIGNATURE ou d’une clé AT_KEYEXCHANGE, cette option n'est pas utile dans la plupart des cas.
Les options suivantes concernent uniquement les fichiers SPC (Software Publisher Certificate) et la technologie de clé privée.
| Option SPC et clé privée | Description |
|---|---|
| -icIssuerCertFile | Emplacement du certificat de l’émetteur. |
| -ikIssuerKey | Emplacement du conteneur de clés de l’émetteur. La valeur par défaut est la clé racine de test. |
| -ikyIssuerKeySpec | Spécification de la clé de l’émetteur, qui doit être l’une des trois valeurs possibles :
|
| -ipIssuerProviderName | Fournisseur CryptoAPI pour l’émetteur. La valeur par défaut est le fournisseur de l’utilisateur. Pour plus d’informations sur les fournisseurs CryptoAPI, consultez la documentation CryptoAPI 2.0. |
| -ivIssuerKeyFile | Fichier de clé privée de l’émetteur. La valeur par défaut est la racine de test. |
| -iynIssuerProviderType | Type de fournisseur CryptoAPI pour l’émetteur. La valeur par défaut est PROV_RSA_FULL. Pour plus d’informations sur les types de fournisseurs CryptoAPI, consultez la documentation CryptoAPI 2.0. |
Remarque
Si l’option de spécification de clé -iky est utilisée dans Internet Explorer 4.0 ou version ultérieure, la spécification doit correspondre à la spécification de clé indiquée par le fichier de clé privée ou le conteneur de clés privées. Si l’option de spécification de clé n’est pas utilisée, la spécification de clé indiquée par le fichier de clé privée ou le conteneur de clés privées sera utilisée. S’il existe plusieurs spécifications de clé dans le conteneur de clés, MakeCert tente d’abord d’utiliser la spécification de clé AT_SIGNATURE. En cas d’échec, MakeCert tente d’utiliser AT_KEYEXCHANGE. Étant donné que la plupart des utilisateurs disposent d’une clé AT_SIGNATURE ou d’une clé AT_KEYEXCHANGE, cette option n'est pas utile dans la plupart des cas.
Les options suivantes concernent uniquement la technologie du magasin de certificats.
| Option de magasin de certificats | Description |
|---|---|
| -ic IssuerCertFile | Fichier qui contient le certificat de l'émetteur. MakeCert effectue une recherche dans le magasin de certificats pour trouver un certificat avec une correspondance exacte. |
| -in IssuerNameString | Nom courant du certificat de l'émetteur. MakeCert recherche dans le magasin de certificats un certificat dont le nom commun inclut IssuerNameString. |
| -ir IssuerCertStoreLocation | Emplacement du registre du magasin de certificats de l’émetteur. IssuerCertStoreLocation doit être LocalMachine (clé de registre HKEY_LOCAL_MACHINE) ou CurrentUser (clé de registre HKEY_CURRENT_USER). La valeur par défaut est CurrentUser. |
| -is IssuerCertStoreName | Magasin de certificats de l’émetteur qui inclut le certificat de l’émetteur et ses informations de clé privée associées. S’il existe plusieurs certificats dans le magasin, l’utilisateur doit l’identifier de manière unique à l’aide de l’option -ic ou -in. Si le certificat dans le magasin de certificats n’est pas identifié de manière unique, MakeCert échoue. |