⑴ 如何用makecert生成數字證書!
證書創建工具 (Makecert.exe)
.NET Framework 2.0
其他版本
24(共 31)對本文的評價是有幫助 - 評價此主題
證書創建工具生成僅用於測試目的的 X.509 證書。它創建用於數字簽名的公鑰和私鑰對,並將其存儲在證書文件中。此工具還將密鑰對與指定發行者的名稱相關聯,並創建一個 X.509 證書,該證書將用戶指定的名稱綁定到密鑰對的公共部分。
Makecert.exe 包含基本選項和擴展選項。基本選項是最常用於創建證書的選項。擴展選項提供更多的靈活性。
一定不要將此工具生成的證書私鑰存儲在 .snk 文件中。如果需要存儲私鑰,則應使用密鑰容器。有關如何在密鑰容器中存儲私鑰的更多信息,請參見如何:將非對稱密鑰存儲在密鑰容器中。
警告
應使用證書存儲區來安全地存儲證書。此工具使用的 .snk 文件以不受保護的方式存儲私鑰。創建或導入 .snk 文件時,在使用期間應注意保證其安全,並在使用後將其移除。
makecert [options] outputCertificateFile
參數
說明
outputCertificateFile
測試 X.509 證書要寫入的 .cer 文件的名稱。
基本選項
選項
說明
-n x509name
指定主題的證書名稱。此名稱必須符合 X.500 標准。最簡單的方法是在雙引號中指定此名稱,並加上前綴 CN=;例如,"CN=myName"。
-pe
將所生成的私鑰標記為可導出。這樣可將私鑰包括在證書中。
-sk keyname
指定主題的密鑰容器位置,該位置包含私鑰。如果密鑰容器不存在,系統將創建一個。
-sr location
指定主題的證書存儲位置。Location 可以是 currentuser(默認值)或 localmachine。
-ss store
指定主題的證書存儲名稱,輸出證書即存儲在那裡。
-# number
指定一個介於 1 和 2,147,483,647 之間的序列號。默認值是由 Makecert.exe 生成的唯一值。
-$ authority
指定證書的簽名許可權,必須設置為 commercial(對於商業軟體發行者使用的證書)或 indivial(對於個人軟體發行者使用的證書)。
-?
顯示此工具的命令語法和基本選項列表。
-!
顯示此工具的命令語法和擴展選項列表。
擴展選項
選項
說明
-a algorithm
指定簽名演算法。必須是 md5(默認值)或 sha1。
-b mm/dd/yyyy
指定有效期的開始時間。默認為證書的創建日期。
-cy certType
指定證書類型。有效值是 end(對於最終實體)和 authority(對於證書頒發機構)。
-d name
顯示主題的名稱。
-e mm/dd/yyyy
指定有效期的結束時間。默認為 12/31/2039 11:59:59 GMT。
-eku oid[,oid]
將用逗號分隔的增強型密鑰用法對象標識符 (OID) 列表插入到證書中。
-h number
指定此證書下面的樹的最大高度。
-ic file
指定頒發者的證書文件。
-ik keyName
指定頒發者的密鑰容器名稱。
-iky keytype
指定頒發者的密鑰類型,必須是 signature、exchange 或一個表示提供程序類型的整數。默認情況下,可傳入 1 表示交換密鑰,傳入 2 表示簽名密鑰。
-in name
指定頒發者的證書公用名稱。
-ip provider
指定頒發者的 CryptoAPI 提供程序名稱。
-ir location
指定頒發者的證書存儲位置。Location 可以是 currentuser(默認值)或 localmachine。
-is store
指定頒發者的證書存儲名稱。
-iv pvkFile
指定頒發者的 .pvk 私鑰文件。
-iy pvkFile
指定頒發者的 CryptoAPI 提供程序類型。
-l link
到策略信息的鏈接(例如,一個 URL)。
-m number
以月為單位指定證書有效期的持續時間。
-nscp
包括 Netscape 客戶端身份驗證擴展。
-r
創建自簽署證書。
-sc file
指定主題的證書文件。
-sky keytype
指定主題的密鑰類型,必須是 signature、exchange 或一個表示提供程序類型的整數。默認情況下,可傳入 1 表示交換密鑰,傳入 2 表示簽名密鑰。
-sp provider
指定主題的 CryptoAPI 提供程序名稱。
-sv pvkFile
指定主題的 .pvk 私鑰文件。如果該文件不存在,系統將創建一個。
-sy type
指定主題的 CryptoAPI 提供程序類型。
示例
下面的命令創建了一個由默認測試根頒發的測試證書並將其寫入 testCert.cer。
makecert testCert.cer
下面的命令創建了一個由默認測試根頒發的證書並將其保存到證書存儲區。
makecert -ss testCertStore
下面的命令創建了一個由默認測試根頒發的證書並將其保存到證書存儲區。它將證書顯式地放入 currentuser 存儲區。
makecert -ss testCertStore -sr currentuser
下面的命令使用主題的密鑰容器和證書主題的 X.500 名稱創建一個測試證書,並將其寫入 textXYZ.cer。
makecert -sk XYZ -n "CN=XYZ Company" testXYZ.cer
下面的命令創建了一個由默認測試根頒發的證書和一個 .pvk 文件,並將此證書同時輸出到存儲區和該文件。
makecert -sv testCert.pvk -ss testCertStore testCert.cer
下面的命令創建了一個由默認測試根頒發的證書和一個密鑰容器,並將此證書同時輸出到存儲區和該文件。
makecert -sk myTestKey -ss testCertStore testCert.cer
下面的命令創建一個自我簽署的證書,指定使用者名稱為「CN=XYZ Company」,指定有效期的起始和結束時間,將密鑰放入 my 存儲區,指定並交換密鑰,並且使私鑰可導出。
makecert -r -pe -n "CN=XYZ Company" -b 01/01/2005 -e 01/01/2010 -sky exchange -ss my
下面的命令創建了一些證書並將它們保存到存儲區。第一個命令使用默認測試根創建了一個證書並將其保存到存儲區。第二個命令使用新創建的證書創建了另一個證書,並將第二個證書保存到另一個存儲區。
makecert -sk myTestKey -ss testCertStore
makecert -is testCertStore -ss anotherTestStore
下面的命令創建了一些證書並將它們保存到存儲區。第一個命令將證書保存到 my 存儲區。第二個命令使用新創建的證書創建了另一個證書。因為 my 存儲區中存在多個證書,所以第二個命令使用公用名稱來標識第一個證書。
makecert -sk myTestKey -n "CN=XXZZYY" -ss my
makecert -is my -in "XXZZYY" -ss anotherTestStore
下面的命令創建了一些證書並將它們保存到文件和存儲區。第一個命令使用默認測試根創建了一個證書並將其保存到 my 存儲區和一個文件。第二個命令使用新創建的 testCert.cer 證書創建了另一個證書。因為 my 存儲區中存在多個證書,所以第二個命令使用證書文件名來唯一標識第一個證書。
makecert -sk myTestKey -n "CN=XXZZYY" -ss my testCert.cer
makecert -is my -ic testCert.cer -ss anotherTestStore
請參見
參考
.NET Framework 工具
發行者證書測試工具 (Cert2spc.exe)
SDK 命令提示
⑵ 證書.PFX , .cer或crt , .key , .jks 通過什麼指令進行互相轉換
常見證書格式及相互轉換
PKCS 全稱是 Public-Key Cryptography Standards ,是由 RSA 實驗室與其它安全系統開發商為促進公鑰密碼的發展而制訂的一系列標准,PKCS 目前共發布過 15 個標准。 常用的有:
PKCS#7 Cryptographic Message Syntax Standard
PKCS#10 Certification Request Standard
PKCS#12 Personal Information Exchange Syntax Standard
X.509是常見通用的證書格式。所有的證書都符合為Public Key Infrastructure (PKI) 制定的 ITU-T X509 國際標准。
PKCS#7 常用的後綴是: .P7B .P7C .SPC
PKCS#12 常用的後綴有: .P12 .PFX
X.509 DER 編碼(ASCII)的後綴是: .DER .CER .CRT
X.509 PAM 編碼(Base64)的後綴是: .PEM .CER .CRT
.cer/.crt是用於存放證書,它是2進制形式存放的,不含私鑰。
.pem跟crt/cer的區別是它以Ascii來表示。
pfx/p12用於存放個人證書/私鑰,他通常包含保護密碼,2進制方式
p10是證書請求
p7r是CA對證書請求的回復,只用於導入
p7b以樹狀展示證書鏈(certificate chain),同時也支持單個證書,不含私鑰。
—————-
小美註:
der,cer文件一般是二進制格式的,只放證書,不含私鑰
crt文件可能是二進制的,也可能是文本格式的,應該以文本格式居多,功能同der/cer
pem文件一般是文本格式的,可以放證書或者私鑰,或者兩者都有
pem如果只含私鑰的話,一般用.key擴展名,而且可以有密碼保護
pfx,p12文件是二進制格式,同時含私鑰和證書,通常有保護密碼
怎麼判斷是文本格式還是二進制?用記事本打開,如果是規則的數字字母,如
—–BEGIN CERTIFICATE—–
//a3VIcDjANBgkqhkiG9w0BAQUFADBy
—–END CERTIFICATE—–
就是文本的,上面的BEGIN CERTIFICATE,說明這是一個證書
如果是—–BEGIN RSA PRIVATE KEY—–,說明這是一個私鑰
文本格式的私鑰,也可能有密碼保護
文本格式怎麼變成二進制? 從程序角度來說,去掉前後的—-行,剩下的去掉回車,用base64解碼,就得到二進制了
不過一般都用命令行openssl完成這個工作
—————
一 用openssl創建CA證書的RSA密鑰(PEM格式):
openssl genrsa -des3 -out ca.key 1024
二用openssl創建CA證書(PEM格式,假如有效期為一年):
openssl req -new -x509 -days 365 -key ca.key -out ca.crt -config openssl.cnf
openssl是可以生成DER格式的CA證書的,最好用IE將PEM格式的CA證書轉換成DER格式的CA證書。
三 x509到pfx
pkcs12 -export –in keys/client1.crt -inkey keys/client1.key -out keys/client1.pfx
四 PEM格式的ca.key轉換為Microsoft可以識別的pvk格式。
pvk -in ca.key -out ca.pvk -nocrypt -topvk
五 PKCS#12 到 PEM 的轉換
openssl pkcs12 -nocerts -nodes -in cert.p12 -out privatekey.pem
openssl pkcs12 -clcerts -nokeys -in cert.p12 -out cert.pem
openssl pkcs12 -nodes -in ./cert.p12 -out ./cert_key.pem
六 從 PFX 格式文件中提取私鑰格式文件 (.key)
openssl pkcs12 -in mycert.pfx -nocerts -nodes -out mycert.key
七 轉換 pem 到到 spc
openssl crl2pkcs7 -nocrl -certfile venus.pem -outform DER -out venus.spc
用 -outform -inform 指定 DER 還是 PAM 格式。例如:
openssl x509 -in Cert.pem -inform PEM -out cert.der -outform DER
八 PEM 到 PKCS#12 的轉換,
openssl pkcs12 -export -in Cert.pem -out Cert.p12 -inkey key.pem
九 cer 到 pem
openssl x509 -in aps_developer.cer -inform DER -out aps_developer.pem -outform PEM
十 der 到 pem
der和cer是一樣的,如果openssl x509不能load證書,報如下錯:
unable to load certificate
就說明不是一個證書,用下面的命令試一下,因為der也可能是一個csr轉換格式後的文件:
openssl req -inform der -outform pem -in ./customer.der -out ./customer.csr
十一、密鑰去掉加密(使用時不用手動輸入密碼)
openssl rsa -in customerPrivateKey.pem -out ./customerPrivateKey_unenrypted.pem
十二、合成證書和密鑰
cat ./customerPrivateKey_unenrypted.pem ./mdm_push_cert.pem > merger2.pem
⑶ 在獲取代碼簽名證書時,報「80092004」,如何處理
這說明安裝證書時找不到私鑰,有兩種可能情況:
1. 在申請完證書後,由於各種原因,如:重做系統等,丟失了私鑰文件,即:myprivatekey.pvk。此時,客戶只能重新注冊新證書,以產生新的密鑰對。
2. 在安裝證書時,與注冊證書時使用的不是同一台機器;或重做了系統,但備份了私鑰。此時,建議您將帶有證書的郵件發給天威誠信公司,由我們手動為其取下證書,再發給您即可。
⑷ 數字證書pfx 格式怎麼轉換成.pvk 和 .spc 格式 呢
需要使用 OpenSSL 來實現格式轉換,如果沒有OpenSSL ,則需要下載和安裝一個 OpenSSL Win32 包。詳細教程參考網頁鏈接
⑸ PVK文件是什麼格式的怎麼打開
數字簽名密匙證書
⑹ 如何對EXE程序進行數字簽名
方法一
1、購買或自己創立一個的數字簽名證書文件。
有工具軟體可以製作數字簽名證書,比如openssl,但自簽的,在別人的機器上,回出現簽名無法校驗的問題。除非人家信任,否則人家不會安裝你的證書。
2、用工具軟體對exe或其他任何文件,進行數字簽名。 可以是免費的UI工具,比如:kSign;也可以類似signtool(微軟的命令行工具);還可以操作系統的向導程序(比如微軟Windows上的簽名文件安裝,導入並對文件數字簽名的向導)。 xNix下,可以用GnuPG (gpg)從證書到簽名,一次搞定。
3、你要是做程序開發的,可以利用signtool這樣的命令行工具,寫批處理,然後加入自己項目的make過程中自動加簽。
⑺ 如何製作和應用數字簽名證書
第一步,生成一個自簽名的根證書(issuer,簽發者)。
>makecert -n "CN=Root" -r -sv RootIssuer.pvk RootIssuer.cer
這個時候,會彈出提示框,首先給RootIssuer.pvk文件設置私鑰保護口令;
然後,再次輸入這個口令用私鑰(在RootIssuer.pvk文件中)來給公鑰(在RootIssuer.cer文件中)加密。
第二步,使用這個證書簽發一個子證書(使用者,subject)。
>makecert -n "CN=Child" -iv RootIssuer.pvk -ic RootIssuer.cer -sv ChildSubject.pvk ChildSubject.cer
此時,會彈出提示框先給這個子證書的私鑰文件ChildSubject.pvk設置保護口令;
然後,輸入這個子證書的私鑰(在ChildSubject.pvk中)口令來保護子證書的公鑰(在ChildSubject.cer中)。
接下來會提示輸入根證書私鑰(在RootIssuer.pvk中)口令來簽發整個子證書(公鑰和用戶信息)。
⑻ 如何導出pvk文件
所以,如果您想把雙證書文件 .pvk 和 .spc 轉換成一個 .pfx 格式證書文件,以簡化簽名過程和方便導入到 USB Key 中實現更加安全的簽名管理,請參考本轉換指南。而有些用戶可能需要使用命令行方式來實現代碼簽名,即需要把 .pfx 格式簽名證書文件轉換成兩個簽名證書文件 .pvk 和 .spc ,也請參考本轉換指南。 一、從 .pvk 和.spc 格式轉換成 .pfx 格式(1) 下載微軟的轉換工具軟體: pvkimprt.rar ,並成功安裝; (2) 請確認您電腦上已經安裝了頒發代碼簽名證書的中級根證書,如果沒有,請先點擊安裝: WoSign代碼簽名中級根證書 和 交叉簽名根證書 (3) 在 DOS 狀態下,進入保存兩個簽名證書文件 mycert.pvk 和 mycert.spc 的目錄,請鍵入命令: pvkimprt mycert.spc mykey.pvk 按提示輸入私鑰密碼後,啟動證書導入過程,按幾個回車就成功把證書導入到 Windows 證書存儲區,在 IE 瀏覽器的 「工具」 —「 Internet 選項」 — 「內容」 — 「證書」 — 「個人」中就能看到您的簽名證書,再點擊「導出」就可以得到包含有簽名證書公鑰和私鑰的 .pfx 格式證書。 請注意:在導出時要選中「如果可能,將所有證書包括到證書路徑中」,並建議選中「如果導出成功刪除密鑰」以防止被他人非法導出。如果還需要導入使用,則再導入即可,此時導入的預設是「不允許導出私鑰」,從而保證了簽名證書的安全。 請注意: pvkimprt 工具不支持跨操作系統,也就是說,如果您是在 Windows 2000 操作系統上生成的私鑰文件 .pvk 的,則只能在 Windows 2000 操作系統中使用 pvkimprt 工具。 您也可以利用此工具來修改簽名證書私鑰文件 .pvk 的密碼,只需要從 .pfx 格式證書文件中分離出私鑰文件 .pvk 和公鑰文件 .spc ,請參考如下轉換指南。 二、從 .pfx 格式轉換成 .pvk 和.spc 格式1. 需要使用 OpenSSL 來實現格式轉換,如果沒有OpenSSL ,則需要 下載 和安裝一個 OpenSSL Win32 包; 2. 從 PFX 格式文件中提取私鑰中間格式文件 (.key) ,假設 OpenSSL 的安裝目錄為: c:\program file\GnuWin32, PFX 格式文件目錄: c:\cert\mycert.pfx ,在 DOS 狀態下鍵入: cd\Program Files\GnuWin32\bin openssl pkcs12 -in mycert.pfx -nocerts -nodes -out mycert.key 會提示輸入 .pfx 證書文件的密碼,就是您從 IE 導出 PFX 備份文件時設置的密碼,輸入密碼後會提示「 MAC verified OK 」,表示提取成功。 3. 使用 pvk.exe 來把 .key 格式文件轉換成 .pvk 格式, 下載 pvk.exe 到 c:\cert 目錄,在 DOS 狀態下鍵入: pvk -in mycert.key -topvk -out mycert.pvk 會提示輸入密碼,和再次輸入密碼就完成轉換。 4. 從 IE 中導出或下載 WoSign代碼簽名中級根證書 和 交叉簽名根證書和導出您的代碼簽名證書的公鑰 mycert.cer ,導出時選擇 Base64 編碼格式。 5. 使用簽名工具包中的 cert2spc.exe 生成軟體發行證書 .spc 格式文件, 下載 簽名工具包,在 DOS 狀態下鍵入: cert2spc class3code.crt ca1_xs1.crt mycert.cer mycert.spc 會提示 Success ,表示 SPC 文件生成成功。 這樣就成功從 mycert.pfx 中得到了 mycert.pvk 和 mycert.spc 文件,實現了從 .pfx 格式證書文到 .pvk 和 .spc 格式證書文件的轉換。
⑼ 如何:創建開發期間使用的臨時證書
該證書通常是證書鏈的一部分,在計算機的受信任的根證書頒發機構存儲區中可找到根證書頒發機構。擁有一個證書鏈,使您可以限定一組證書,其中根證書頒發機構通常來自於您的組織或業務單元。若要在開發時模擬此情況,請創建兩個證書以滿足安全要求。第一個證書是自簽名證書,放置在受信任的根證書頒發機構存儲區中;第二個證書是從第一個證書創建的,放置在本地計算機位置的個人存儲區中或當前用戶位置的個人存儲區中。本主題指導您逐步完成使用 證書創建工具 (MakeCert.exe)創建這兩個證書的步驟,該工具由 .NET Framework SDK 提供。重要提示證書創建工具生成的證書僅供測試使用。部署服務或客戶程序時,請確保使用證書頒發機構提供的適當證書。這可能是來自於組織或第三方的 Windows Server 2003 證書伺服器。默認情況下,Makecert.exe(證書創建工具) 創建根證書頒發機構稱為「根證書代理」的證書。由於「根證書代理」不是受信任的根證書頒發機構存儲區,這會使這些證書不安全。創建一個放置在受信任的根證書頒發機構存儲區的自簽名證書,您可以創建一個與您的部署環境極其類似的開發環境。有關創建和使用證書的更多信息,請參見使用證書。有關使用證書作為憑據的更多信息,請參見保護服務和客戶端的安全。有關使用 Microsoft Authenticode 技術的教程,請參見 Authenticode 概述和教程(可能為英文網頁)。創建一個自簽名根證書頒發機構證書並導出私鑰使用MakeCert.exe 工具和以下開關:-nsubjectName。指定主題名稱。約定是為主題名的「公用名」添加前綴「CN = 」。-r。指定證書將自簽名。-svprivateKeyFile。指定包含私鑰容器的文件。例如,下面的命令創建一個主題名稱為「CN=TempCA」的自簽名證書。 makecert -n "CN=TempCA" -r -sv TempCA.pvk TempCA.cer 系統將提示您提供一個密碼以保護私鑰。在創建由此根證書簽名的證書時需要此密碼。創建一個由根證書頒發機構證書簽名的新證書使用MakeCert.exe 工具和以下開關:-sksubjectKey。保存私鑰的主題密鑰容器的位置。如果密鑰容器不存在,則將創建一個。如果既沒有使用 -sk 選項,也沒有使用 -sv 選項,則默認創建名為 JoeSoft 的密鑰容器。-nsubjectName。指定主題名稱。約定是為主題名的「公用名」添加前綴「CN = 」。-ivissuerKeyFile。指定頒發者的私鑰文件。-icissuerCertFile。指定頒發者的證書位置。例如,下面的命令使用頒發者的私鑰創建一個由 TempCA 根證書頒發機構證書簽名的證書,其主題名稱為 "CN=SignedByCA"。 makecert -sk SignedByCA -iv TempCA.pvk -n "CN=SignedByCA" -ic TempCA.cer SignedByCA.cer -sr currentuser -ss My 在受信任的根證書頒發機構存儲區中安裝證書創建自簽名證書後,您可以將它安裝到受信任的根證書頒發機構存儲區中。任何使用該證書簽名的證書在此處都受計算機的信任。為此,當您不再需要該證書時可立即將它從存儲區中刪除。當您刪除此根證書頒發機構證書時,則由它簽名的所有其他證書將成為未經授權的。根證書頒發機構證書只是一種機制,必要時可限定一組證書。例如,在對等應用程序中,通常不需要根證書頒發機構,因為您只信任由對方提供的證書的個體標識。在受信任的根證書頒發機構中安裝自簽名證書打開證書管理單元。有關更多信息,請參見如何:使用 MMC 管理單元查看證書.打開要存儲證書的文件夾,「本地計算機」或「當前用戶」。打開「受信任的根證書頒發機構」文件夾。右擊「證書」文件夾,再單擊「所有任務」,然後單擊「導入」。按照屏幕向導說明,將 TempCa.cer 導入到存儲區中。在WCF 中使用證書一旦安裝了臨時證書,就可以使用這些證書開發指定證書作為客戶端憑據類型的 WCF 解決方案。例如,下面的 XML 配置指定消息安全模式,並指定證書作為客戶端憑據類型。指定證書作為客戶端憑據類型在服務的配置文件中,使用下面的 XML 將安全模式設置為消息,並將客戶端憑據類型設置為證書。xmlLang <bindings> <wsHttpBinding> <binding name="CertificateForClient"> <security> <message clientCredentialType="Certificate" /> </security> </binding> </wsHttpBinding> </bindings> 在客戶端的配置文件中,使用下面的 XML 指定證書存在於用戶存儲區中,可以通過在 SubjectName 欄位中搜索「CohoWinery」值找到該證書。xmlLang <behaviors> <endpointBehaviors> <behavior name="CertForClient"> <clientCredentials> <clientCertificate findValue="CohoWinery" x509FindType="FindBySubjectName" /> </clientCredentials> </behavior> </endpointBehaviors> </behaviors> 有關在 WCF 中使用證書的更多信息,請參見使用證書。安全性請確保通過右擊證書,再單擊「刪除」,從「受信任的根證書頒發機構」和「個人」文件夾中刪除所有臨時根證書頒發機構證書。
⑽ PVK 是什麼文件
PVK是數字簽名證書的密鑰文件。