MakeCert
Notes
MakeCert est déconseillé. Pour créer des certificats auto-signés, utilisez l’applet de commande PowerShell New-SelfSignedCertificate.
L’outil MakeCert crée un certificat X.509 , signé par la clé racine de test ou une autre clé spécifiée, qui lie votre nom à la partie publique de la paire de clés. Le certificat est enregistré dans un fichier, un magasin de certificats système ou les deux. L’outil est installé dans le dossier \Bin du chemin d’installation du Kit de développement logiciel (SDK) Microsoft Windows.
L’outil MakeCert utilise la syntaxe de commande suivante :
MakeCert [BasicOptions|ExtendedOptions] OutputFile
OutputFile est le nom du fichier dans lequel le certificat sera écrit. Vous pouvez omettre OutputFile si le certificat ne doit pas être écrit dans un fichier.
Options
MakeCert inclut des options de base et étendues. Les options de base sont celles le plus fréquemment utilisées lors de la création d'un certificat. Les options avancées offrent une flexibilité accrue.
Les options de MakeCert sont également divisées en trois groupes fonctionnels :
- Options de base spécifiques à la technologie de magasin de certificats uniquement.
- Options étendues spécifiques à la technologie de fichier SPC et de clé privée uniquement.
- Options étendues applicables au fichier SPC, à la clé privée et à la technologie de magasin de certificats.
Les options fournies dans les tableaux suivants peuvent être utilisées uniquement avec Internet Explorer 4.0 ou version ultérieure.
| Option de base | Description |
|---|---|
| -UnAlgorithme | Algorithme de hachage . Doit être défini sur SHA-1 ou MD5 (par défaut). Pour plus d’informations sur MD5, consultez MD5. |
| -BDateStart | Date à laquelle le certificat devient valide pour la première fois. La valeur par défaut est au moment de la création du certificat. Le format de DateStart est mm/jj/aaaa. |
| -CyCertificateTypes | Type de certificat. Les certificateTypes peuvent être terminés pour l’entité finale ou l’autorité pour l’autorité de certification. |
| -EDateEnd | Date de fin de la période de validité. La valeur par défaut est l’année 2039. |
| -EkuOID1,OID2 ... | Insère dans le certificat une liste d’un ou plusieurs identificateurs d’objetd’utilisation de clé améliorés et séparés par des virgules. Par exemple, -eku 1.3.6.1.5.5.7.3.2 insère l’OID d’authentification client. Pour les définitions des OID autorisés, consultez le fichier Wincrypt.h dans CryptoAPI 2.0. |
| -hNumChildren | Hauteur maximale de l’arborescence sous ce certificat. |
| -LPolicyLink | Lien vers les informations de stratégie de l’agence SPC (par exemple, une URL). |
| -MnMonths | Durée de la période de validité. |
| -n"Name » | Nom du certificat de l’éditeur. Ce nom doit être conforme à la norme X.500 . La méthode la plus simple consiste à utiliser le format « CN=MyName ». Par exemple : -n « CN=Test ». |
| -nscp | L’extension d’authentification du client Netscape doit être incluse. |
| -Pe | Marque la clé privée comme exportable. |
| -r | Crée un certificat auto-signé |
| -ScSubjectCertFile | Nom du fichier de certificat avec la clé publique d’objet existante à utiliser. |
| -SkSubjectKey | Emplacement du conteneur de clé du sujet qui contient la clé privée. Un conteneur de clé sera créé s'il n'en existe aucun. Si ni l’option -sk ni -sv n’est utilisée, un conteneur de clés par défaut est créé et utilisé par défaut. |
| -CielSubjectKeySpec | Spécification de clé de l’objet. SubjectKeySpec doit être l’une des trois valeurs possibles :
|
| -SpSubjectProviderName | Fournisseur CryptoAPI pour l’objet. La valeur par défaut est le fournisseur de l’utilisateur. Pour plus d’informations sur les fournisseurs CryptoAPI, consultez la documentation CryptoAPI 2.0. |
| -SrSubjectCertStoreLocation | Emplacement du registre du magasin de certificats de l’objet. SubjectCertStoreLocation doit être LocalMachine (clé de Registre HKEY_LOCAL_MACHINE) ou CurrentUser (clé de Registre HKEY_CURRENT_USER). CurrentUser est la valeur par défaut. |
| -SsSubjectCertStoreName | Nom du magasin de certificats de l’objet dans lequel le certificat généré sera stocké. |
| -SvSubjectKeyFile | Nom du fichier .pvk de l’objet. Si ni l’option -sk ni -sv n’est utilisée, un conteneur de clés par défaut est créé et utilisé par défaut. |
| -SynSubjectProviderType | Type de fournisseur CryptoAPI pour l’objet. La valeur par défaut est PROV_RSA_FULL. Pour plus d’informations sur les types de fournisseurs CryptoAPI, consultez la documentation CryptoAPI 2.0. |
| -#SerialNumber | Numéro de série du certificat. La valeur maximale est 2^31. La valeur par défaut est une valeur générée par l’outil qui est garantie unique. |
| -$CertificateAuthority | Type d’autorité de certification. CertificateAuthority doit être défini sur commercial (pour que les certificats soient utilisés par les éditeurs de logiciels commerciaux) ou individuels (pour que les certificats soient utilisés par des éditeurs de logiciels individuels). |
| -? | Affiche les options de base. |
| -! | Affiche les options étendues. |
Notes
Si l’option de spécification de clé -sky est utilisée dans Internet Explorer version 4.0 ou ultérieure, la spécification doit correspondre à la spécification de clé indiquée par le fichier de clé privée ou le conteneur de clé privée. Si l’option de spécification de clé n’est pas utilisée, la spécification de clé indiquée par le fichier de clé privée ou le conteneur de clé privée sera utilisée. S’il existe plusieurs spécifications de clé dans le conteneur de clés, MakeCert tente d’abord d’utiliser la spécification de clé AT_SIGNATURE. En cas d’échec, MakeCert essaiera d’utiliser AT_KEYEXCHANGE. Étant donné que la plupart des utilisateurs disposent d’une clé AT_SIGNATURE ou d’une clé AT_KEYEXCHANGE, cette option n’a pas besoin d’être utilisée dans la plupart des cas.
Les options suivantes concernent uniquement les fichiers SPC ( Software Publisher Certificate ) et la technologie de clé privée.
| Option SPC et clé privée | Description |
|---|---|
| -IcIssuerCertFile | Emplacement du certificat de l’émetteur. |
| -IkIssuerKey | Emplacement du conteneur de clé de l’émetteur. La valeur par défaut est la clé racine de test. |
| -ikyIssuerKeySpec | Spécification de clé de l’émetteur, qui doit être l’une des trois valeurs possibles :
|
| -IpIssuerProviderName | Fournisseur CryptoAPI pour l’émetteur. La valeur par défaut est le fournisseur de l’utilisateur. Pour plus d’informations sur les fournisseurs CryptoAPI, consultez la documentation CryptoAPI 2.0. |
| -IvIssuerKeyFile | Fichier de clé privée de l’émetteur. La valeur par défaut est la racine de test. |
| -IynIssuerProviderType | Type de fournisseur CryptoAPI pour l’émetteur. La valeur par défaut est PROV_RSA_FULL. Pour plus d’informations sur les types de fournisseurs CryptoAPI, consultez la documentation CryptoAPI 2.0. |
Notes
Si l’option de spécification de clé -iky est utilisée dans Internet Explorer 4.0 ou version ultérieure, la spécification doit correspondre à la spécification de clé indiquée par le fichier de clé privée ou le conteneur de clé privée. Si l’option de spécification de clé n’est pas utilisée, la spécification de clé indiquée par le fichier de clé privée ou le conteneur de clé privée sera utilisée. S’il existe plusieurs spécifications de clé dans le conteneur de clés, MakeCert tente d’abord d’utiliser la spécification de clé AT_SIGNATURE. En cas d’échec, MakeCert essaiera d’utiliser AT_KEYEXCHANGE. Étant donné que la plupart des utilisateurs disposent d’une clé AT_SIGNATURE ou d’une clé AT_KEYEXCHANGE, cette option n’a pas besoin d’être utilisée dans la plupart des cas.
Les options suivantes concernent uniquement la technologie du magasin de certificats .
| Option de magasin de certificats | Description |
|---|---|
| -icIssuerCertFile | Fichier qui contient le certificat de l’émetteur. MakeCert recherche dans le magasin de certificats un certificat avec une correspondance exacte. |
| -inIssuerNameString | Nom commun du certificat de l’émetteur. MakeCert recherche dans le magasin de certificats un certificat dont le nom commun inclut IssuerNameString. |
| -irIssuerCertStoreLocation | Emplacement du registre du magasin de certificats de l’émetteur. IssuerCertStoreLocation doit être LocalMachine (clé de Registre HKEY_LOCAL_MACHINE) ou CurrentUser (HKEY_CURRENT_USER de clé de Registre). CurrentUser est la valeur par défaut. |
| -isIssuerCertStoreName | Magasin de certificats de l’émetteur qui comprend le certificat de l’émetteur et les informations de clé privée associées. S’il existe plusieurs certificats dans le magasin, l’utilisateur doit l’identifier de manière unique à l’aide de l’option -ic ou -in . Si le certificat dans le magasin de certificats n’est pas identifié de manière unique, MakeCert échoue. |
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour