MakeCert
Catatan
MakeCert sudah tidak digunakan lagi. Untuk membuat sertifikat yang ditandatangani sendiri, gunakan Cmdlet Powershell New-SelfSignedCertificate.
Alat MakeCert membuat sertifikat X.509 , yang ditandatangani oleh kunci akar pengujian atau kunci tertentu lainnya, yang mengikat nama Anda ke bagian publik dari pasangan kunci. Sertifikat disimpan ke file, penyimpanan sertifikat sistem, atau keduanya. Alat ini diinstal di folder \Bin dari jalur penginstalan Microsoft Windows Software Development Kit (SDK).
Anda dapat mengunduh Windows SDK dari Windows Dev Center.
Alat MakeCert menggunakan sintaks perintah berikut:
MakeCert [BasicOptions|ExtendedOptions] OutputFile
OutputFile adalah nama file tempat sertifikat akan ditulis. Anda dapat menghilangkan OutputFile jika sertifikat tidak akan ditulis ke file.
Opsi
MakeCert menyertakan opsi dasar dan diperluas. Opsi dasar adalah opsi yang paling umum digunakan untuk membuat sertifikat. Opsi yang diperluas memberikan lebih banyak fleksibilitas.
Opsi untuk MakeCert juga dibagi menjadi tiga grup fungsional:
- Opsi dasar khusus untuk teknologi penyimpanan sertifikat saja.
- Opsi yang diperluas khusus untuk teknologi file SPC dan kunci privat saja.
- Opsi yang diperluas berlaku untuk file SPC, kunci privat, dan teknologi penyimpanan sertifikat.
Opsi yang diberikan dalam tabel berikut ini hanya dapat digunakan dengan Internet Explorer 4.0 atau yang lebih baru.
| Opsi dasar | Deskripsi |
|---|---|
| -aAlgoritma | Algoritma hash . Harus diatur ke SHA-1 atau MD5 (default). Untuk informasi tentang MD5, lihat MD5. |
| -bDateStart | Tanggal sertifikat pertama kali menjadi valid. Defaultnya adalah ketika sertifikat dibuat. Format DateStart adalah mm/dd/yyyy. |
| -cyCertificateTypes | Jenis sertifikat. CertificateTypes dapat berakhir untuk entitas akhir, atau otoritas untuk otoritas sertifikasi. |
| -eDateEnd | Tanggal ketika periode validitas berakhir. Defaultnya adalah tahun 2039. |
| -ekuOID1,OID2 ... | Menyisipkan daftar satu atau beberapa pengidentifikasi objek penggunaankunci (OID) yang dipisahkan koma ke dalam sertifikat. Misalnya, -eku 1.3.6.1.5.5.7.3.2 menyisipkan OID autentikasi klien. Untuk definisi OID yang diizinkan, lihat file Wincrypt.h di CryptoAPI 2.0. |
| -hNumChildren | Tinggi maksimum pohon di bawah sertifikat ini. |
| -lPolicyLink | Tautkan ke informasi kebijakan agensi SPC (misalnya, URL). |
| -mnMonths | Durasi periode validitas. |
| -n"Nama" | Nama untuk sertifikat penerbit. Nama ini harus sesuai dengan standar X.500. Metode paling sederhana adalah menggunakan format "CN=MyName". Misalnya: -n "CN=Test". |
| -nscp | Ekstensi autentikasi klien Netscape harus disertakan. |
| -Pe | Menandai kunci privat sebagai dapat diekspor. |
| -r | Membuat sertifikat yang ditandatangani sendiri. |
| -scSubjectCertFile | Nama file sertifikat dengan kunci publik subjek yang ada untuk digunakan. |
| -skSubjectKey | Lokasi kontainer kunci subjek yang menyimpan kunci privat. Jika kontainer kunci tidak ada, kontainer akan dibuat. Jika opsi -sk atau -sv tidak digunakan, kontainer kunci default dibuat dan digunakan secara default. |
| -skySubjectKeySpec | Spesifikasi utama subjek. SubjectKeySpec harus menjadi salah satu dari tiga nilai yang mungkin:
|
| -spSubjectProviderName | Penyedia CryptoAPI untuk subjek. Defaultnya adalah penyedia pengguna. Untuk informasi tentang penyedia CryptoAPI, lihat dokumentasi CryptoAPI 2.0. |
| -srSubjectCertStoreLocation | Lokasi registri penyimpanan sertifikat subjek. SubjectCertStoreLocation harus berupa LocalMachine (kunci registri HKEY_LOCAL_MACHINE) atau CurrentUser (kunci registri HKEY_CURRENT_USER). CurrentUser adalah default. |
| -ssSubjectCertStoreName | Nama penyimpanan sertifikat subjek tempat sertifikat yang dihasilkan akan disimpan. |
| -svSubjectKeyFile | Nama file .pvk subjek. Jika opsi -sk atau -sv tidak digunakan, kontainer kunci default dibuat dan digunakan secara default. |
| -synSubjectProviderType | Jenis penyedia CryptoAPI untuk subjek. Defaultnya adalah PROV_RSA_FULL. Untuk informasi tentang jenis penyedia CryptoAPI, lihat dokumentasi CryptoAPI 2.0. |
| -#SerialNumber | Nomor seri sertifikat. Nilai maksimum adalah 2^31. Defaultnya adalah nilai yang dihasilkan oleh alat yang dijamin unik. |
| -$CertificateAuthority | Jenis otoritas sertifikasi. CertificateAuthority harus diatur ke komersial (agar sertifikat digunakan oleh penerbit perangkat lunak komersial) atau individu (agar sertifikat digunakan oleh penerbit perangkat lunak individual). |
| -? | Menampilkan opsi dasar. |
| -! | Menampilkan opsi yang diperluas. |
Catatan
Jika opsi spesifikasi kunci -sky digunakan di Internet Explorer versi 4.0 atau yang lebih baru, spesifikasi harus sesuai dengan spesifikasi kunci yang ditunjukkan oleh file kunci privat atau kontainer kunci privat. Jika opsi spesifikasi kunci tidak digunakan, spesifikasi kunci yang ditunjukkan oleh file kunci privat atau kontainer kunci privat akan digunakan. Jika ada lebih dari satu spesifikasi kunci dalam kontainer kunci, MakeCert akan terlebih dahulu mencoba menggunakan spesifikasi kunci AT_SIGNATURE. Jika gagal, MakeCert akan mencoba menggunakan AT_KEYEXCHANGE. Karena sebagian besar pengguna memiliki kunci AT_SIGNATURE atau kunci AT_KEYEXCHANGE, opsi ini tidak perlu digunakan dalam banyak kasus.
Opsi berikut hanya untuk file Sertifikat Penerbit Perangkat Lunak (SPC) dan teknologi kunci privat.
| Opsi SPC dan kunci privat | Deskripsi |
|---|---|
| -icIssuerCertFile | Lokasi sertifikat penerbit. |
| -ikIssuerKey | Lokasi kontainer kunci penerbit. Defaultnya adalah kunci akar pengujian. |
| -ikyIssuerKeySpec | Spesifikasi utama pengeluar sertifikat, yang harus menjadi salah satu dari tiga nilai yang mungkin:
|
| -ipIssuerProviderName | Penyedia KriptoAPI untuk penerbit. Defaultnya adalah penyedia pengguna. Untuk informasi tentang penyedia CryptoAPI, lihat dokumentasi CryptoAPI 2.0. |
| -ivIssuerKeyFile | File kunci privat pengeluar sertifikat. Defaultnya adalah akar pengujian. |
| -iynIssuerProviderType | Jenis penyedia CryptoAPI untuk penerbit. Defaultnya adalah PROV_RSA_FULL. Untuk informasi tentang jenis penyedia CryptoAPI, lihat dokumentasi CryptoAPI 2.0. |
Catatan
Jika opsi spesifikasi kunci -iky digunakan di Internet Explorer 4.0 atau yang lebih baru, spesifikasi harus sesuai dengan spesifikasi kunci yang ditunjukkan oleh file kunci privat atau kontainer kunci privat. Jika opsi spesifikasi kunci tidak digunakan, spesifikasi kunci yang ditunjukkan oleh file kunci privat atau kontainer kunci privat akan digunakan. Jika ada lebih dari satu spesifikasi kunci dalam kontainer kunci, MakeCert akan terlebih dahulu mencoba menggunakan spesifikasi kunci AT_SIGNATURE. Jika gagal, MakeCert akan mencoba menggunakan AT_KEYEXCHANGE. Karena sebagian besar pengguna memiliki kunci AT_SIGNATURE atau kunci AT_KEYEXCHANGE, opsi ini tidak perlu digunakan dalam banyak kasus.
Opsi berikut hanya untuk teknologi penyimpanan sertifikat.
| Opsi penyimpanan sertifikat | Deskripsi |
|---|---|
| -ic IssuerCertFile | File yang berisi sertifikat penerbit. MakeCert akan mencari di penyimpanan sertifikat untuk sertifikat dengan kecocokan yang tepat. |
| -in IssuerNameString | Nama umum sertifikat penerbit. MakeCert akan mencari di penyimpanan sertifikat untuk sertifikat yang nama umumnya menyertakan IssuerNameString. |
| -ir IssuerCertStoreLocation | Lokasi registri penyimpanan sertifikat penerbit. IssuerCertStoreLocation harus berupa LocalMachine (kunci registri HKEY_LOCAL_MACHINE) atau CurrentUser (kunci registri HKEY_CURRENT_USER). CurrentUser adalah default. |
| -is IssuerCertStoreName | Penyimpanan sertifikat penerbit yang menyertakan sertifikat penerbit dan informasi kunci privat terkait. Jika ada lebih dari satu sertifikat di penyimpanan, pengguna harus mengidentifikasinya secara unik dengan menggunakan opsi -ic atau -in . Jika sertifikat di penyimpanan sertifikat tidak diidentifikasi secara unik, MakeCert akan gagal. |