⑴ 如何用makecert生成数字证书!
证书创建工具 (Makecert.exe)
.NET Framework 2.0
其他版本
24(共 31)对本文的评价是有帮助 - 评价此主题
证书创建工具生成仅用于测试目的的 X.509 证书。它创建用于数字签名的公钥和私钥对,并将其存储在证书文件中。此工具还将密钥对与指定发行者的名称相关联,并创建一个 X.509 证书,该证书将用户指定的名称绑定到密钥对的公共部分。
Makecert.exe 包含基本选项和扩展选项。基本选项是最常用于创建证书的选项。扩展选项提供更多的灵活性。
一定不要将此工具生成的证书私钥存储在 .snk 文件中。如果需要存储私钥,则应使用密钥容器。有关如何在密钥容器中存储私钥的更多信息,请参见如何:将非对称密钥存储在密钥容器中。
警告
应使用证书存储区来安全地存储证书。此工具使用的 .snk 文件以不受保护的方式存储私钥。创建或导入 .snk 文件时,在使用期间应注意保证其安全,并在使用后将其移除。
makecert [options] outputCertificateFile
参数
说明
outputCertificateFile
测试 X.509 证书要写入的 .cer 文件的名称。
基本选项
选项
说明
-n x509name
指定主题的证书名称。此名称必须符合 X.500 标准。最简单的方法是在双引号中指定此名称,并加上前缀 CN=;例如,"CN=myName"。
-pe
将所生成的私钥标记为可导出。这样可将私钥包括在证书中。
-sk keyname
指定主题的密钥容器位置,该位置包含私钥。如果密钥容器不存在,系统将创建一个。
-sr location
指定主题的证书存储位置。Location 可以是 currentuser(默认值)或 localmachine。
-ss store
指定主题的证书存储名称,输出证书即存储在那里。
-# number
指定一个介于 1 和 2,147,483,647 之间的序列号。默认值是由 Makecert.exe 生成的唯一值。
-$ authority
指定证书的签名权限,必须设置为 commercial(对于商业软件发行者使用的证书)或 indivial(对于个人软件发行者使用的证书)。
-?
显示此工具的命令语法和基本选项列表。
-!
显示此工具的命令语法和扩展选项列表。
扩展选项
选项
说明
-a algorithm
指定签名算法。必须是 md5(默认值)或 sha1。
-b mm/dd/yyyy
指定有效期的开始时间。默认为证书的创建日期。
-cy certType
指定证书类型。有效值是 end(对于最终实体)和 authority(对于证书颁发机构)。
-d name
显示主题的名称。
-e mm/dd/yyyy
指定有效期的结束时间。默认为 12/31/2039 11:59:59 GMT。
-eku oid[,oid]
将用逗号分隔的增强型密钥用法对象标识符 (OID) 列表插入到证书中。
-h number
指定此证书下面的树的最大高度。
-ic file
指定颁发者的证书文件。
-ik keyName
指定颁发者的密钥容器名称。
-iky keytype
指定颁发者的密钥类型,必须是 signature、exchange 或一个表示提供程序类型的整数。默认情况下,可传入 1 表示交换密钥,传入 2 表示签名密钥。
-in name
指定颁发者的证书公用名称。
-ip provider
指定颁发者的 CryptoAPI 提供程序名称。
-ir location
指定颁发者的证书存储位置。Location 可以是 currentuser(默认值)或 localmachine。
-is store
指定颁发者的证书存储名称。
-iv pvkFile
指定颁发者的 .pvk 私钥文件。
-iy pvkFile
指定颁发者的 CryptoAPI 提供程序类型。
-l link
到策略信息的链接(例如,一个 URL)。
-m number
以月为单位指定证书有效期的持续时间。
-nscp
包括 Netscape 客户端身份验证扩展。
-r
创建自签署证书。
-sc file
指定主题的证书文件。
-sky keytype
指定主题的密钥类型,必须是 signature、exchange 或一个表示提供程序类型的整数。默认情况下,可传入 1 表示交换密钥,传入 2 表示签名密钥。
-sp provider
指定主题的 CryptoAPI 提供程序名称。
-sv pvkFile
指定主题的 .pvk 私钥文件。如果该文件不存在,系统将创建一个。
-sy type
指定主题的 CryptoAPI 提供程序类型。
示例
下面的命令创建了一个由默认测试根颁发的测试证书并将其写入 testCert.cer。
makecert testCert.cer
下面的命令创建了一个由默认测试根颁发的证书并将其保存到证书存储区。
makecert -ss testCertStore
下面的命令创建了一个由默认测试根颁发的证书并将其保存到证书存储区。它将证书显式地放入 currentuser 存储区。
makecert -ss testCertStore -sr currentuser
下面的命令使用主题的密钥容器和证书主题的 X.500 名称创建一个测试证书,并将其写入 textXYZ.cer。
makecert -sk XYZ -n "CN=XYZ Company" testXYZ.cer
下面的命令创建了一个由默认测试根颁发的证书和一个 .pvk 文件,并将此证书同时输出到存储区和该文件。
makecert -sv testCert.pvk -ss testCertStore testCert.cer
下面的命令创建了一个由默认测试根颁发的证书和一个密钥容器,并将此证书同时输出到存储区和该文件。
makecert -sk myTestKey -ss testCertStore testCert.cer
下面的命令创建一个自我签署的证书,指定使用者名称为“CN=XYZ Company”,指定有效期的起始和结束时间,将密钥放入 my 存储区,指定并交换密钥,并且使私钥可导出。
makecert -r -pe -n "CN=XYZ Company" -b 01/01/2005 -e 01/01/2010 -sky exchange -ss my
下面的命令创建了一些证书并将它们保存到存储区。第一个命令使用默认测试根创建了一个证书并将其保存到存储区。第二个命令使用新创建的证书创建了另一个证书,并将第二个证书保存到另一个存储区。
makecert -sk myTestKey -ss testCertStore
makecert -is testCertStore -ss anotherTestStore
下面的命令创建了一些证书并将它们保存到存储区。第一个命令将证书保存到 my 存储区。第二个命令使用新创建的证书创建了另一个证书。因为 my 存储区中存在多个证书,所以第二个命令使用公用名称来标识第一个证书。
makecert -sk myTestKey -n "CN=XXZZYY" -ss my
makecert -is my -in "XXZZYY" -ss anotherTestStore
下面的命令创建了一些证书并将它们保存到文件和存储区。第一个命令使用默认测试根创建了一个证书并将其保存到 my 存储区和一个文件。第二个命令使用新创建的 testCert.cer 证书创建了另一个证书。因为 my 存储区中存在多个证书,所以第二个命令使用证书文件名来唯一标识第一个证书。
makecert -sk myTestKey -n "CN=XXZZYY" -ss my testCert.cer
makecert -is my -ic testCert.cer -ss anotherTestStore
请参见
参考
.NET Framework 工具
发行者证书测试工具 (Cert2spc.exe)
SDK 命令提示
⑵ 证书.PFX , .cer或crt , .key , .jks 通过什么指令进行互相转换
常见证书格式及相互转换
PKCS 全称是 Public-Key Cryptography Standards ,是由 RSA 实验室与其它安全系统开发商为促进公钥密码的发展而制订的一系列标准,PKCS 目前共发布过 15 个标准。 常用的有:
PKCS#7 Cryptographic Message Syntax Standard
PKCS#10 Certification Request Standard
PKCS#12 Personal Information Exchange Syntax Standard
X.509是常见通用的证书格式。所有的证书都符合为Public Key Infrastructure (PKI) 制定的 ITU-T X509 国际标准。
PKCS#7 常用的后缀是: .P7B .P7C .SPC
PKCS#12 常用的后缀有: .P12 .PFX
X.509 DER 编码(ASCII)的后缀是: .DER .CER .CRT
X.509 PAM 编码(Base64)的后缀是: .PEM .CER .CRT
.cer/.crt是用于存放证书,它是2进制形式存放的,不含私钥。
.pem跟crt/cer的区别是它以Ascii来表示。
pfx/p12用于存放个人证书/私钥,他通常包含保护密码,2进制方式
p10是证书请求
p7r是CA对证书请求的回复,只用于导入
p7b以树状展示证书链(certificate chain),同时也支持单个证书,不含私钥。
—————-
小美注:
der,cer文件一般是二进制格式的,只放证书,不含私钥
crt文件可能是二进制的,也可能是文本格式的,应该以文本格式居多,功能同der/cer
pem文件一般是文本格式的,可以放证书或者私钥,或者两者都有
pem如果只含私钥的话,一般用.key扩展名,而且可以有密码保护
pfx,p12文件是二进制格式,同时含私钥和证书,通常有保护密码
怎么判断是文本格式还是二进制?用记事本打开,如果是规则的数字字母,如
—–BEGIN CERTIFICATE—–
//a3VIcDjANBgkqhkiG9w0BAQUFADBy
—–END CERTIFICATE—–
就是文本的,上面的BEGIN CERTIFICATE,说明这是一个证书
如果是—–BEGIN RSA PRIVATE KEY—–,说明这是一个私钥
文本格式的私钥,也可能有密码保护
文本格式怎么变成二进制? 从程序角度来说,去掉前后的—-行,剩下的去掉回车,用base64解码,就得到二进制了
不过一般都用命令行openssl完成这个工作
—————
一 用openssl创建CA证书的RSA密钥(PEM格式):
openssl genrsa -des3 -out ca.key 1024
二用openssl创建CA证书(PEM格式,假如有效期为一年):
openssl req -new -x509 -days 365 -key ca.key -out ca.crt -config openssl.cnf
openssl是可以生成DER格式的CA证书的,最好用IE将PEM格式的CA证书转换成DER格式的CA证书。
三 x509到pfx
pkcs12 -export –in keys/client1.crt -inkey keys/client1.key -out keys/client1.pfx
四 PEM格式的ca.key转换为Microsoft可以识别的pvk格式。
pvk -in ca.key -out ca.pvk -nocrypt -topvk
五 PKCS#12 到 PEM 的转换
openssl pkcs12 -nocerts -nodes -in cert.p12 -out privatekey.pem
openssl pkcs12 -clcerts -nokeys -in cert.p12 -out cert.pem
openssl pkcs12 -nodes -in ./cert.p12 -out ./cert_key.pem
六 从 PFX 格式文件中提取私钥格式文件 (.key)
openssl pkcs12 -in mycert.pfx -nocerts -nodes -out mycert.key
七 转换 pem 到到 spc
openssl crl2pkcs7 -nocrl -certfile venus.pem -outform DER -out venus.spc
用 -outform -inform 指定 DER 还是 PAM 格式。例如:
openssl x509 -in Cert.pem -inform PEM -out cert.der -outform DER
八 PEM 到 PKCS#12 的转换,
openssl pkcs12 -export -in Cert.pem -out Cert.p12 -inkey key.pem
九 cer 到 pem
openssl x509 -in aps_developer.cer -inform DER -out aps_developer.pem -outform PEM
十 der 到 pem
der和cer是一样的,如果openssl x509不能load证书,报如下错:
unable to load certificate
就说明不是一个证书,用下面的命令试一下,因为der也可能是一个csr转换格式后的文件:
openssl req -inform der -outform pem -in ./customer.der -out ./customer.csr
十一、密钥去掉加密(使用时不用手动输入密码)
openssl rsa -in customerPrivateKey.pem -out ./customerPrivateKey_unenrypted.pem
十二、合成证书和密钥
cat ./customerPrivateKey_unenrypted.pem ./mdm_push_cert.pem > merger2.pem
⑶ 在获取代码签名证书时,报“80092004”,如何处理
这说明安装证书时找不到私钥,有两种可能情况:
1. 在申请完证书后,由于各种原因,如:重做系统等,丢失了私钥文件,即:myprivatekey.pvk。此时,客户只能重新注册新证书,以产生新的密钥对。
2. 在安装证书时,与注册证书时使用的不是同一台机器;或重做了系统,但备份了私钥。此时,建议您将带有证书的邮件发给天威诚信公司,由我们手动为其取下证书,再发给您即可。
⑷ 数字证书pfx 格式怎么转换成.pvk 和 .spc 格式 呢
需要使用 OpenSSL 来实现格式转换,如果没有OpenSSL ,则需要下载和安装一个 OpenSSL Win32 包。详细教程参考网页链接
⑸ PVK文件是什么格式的怎么打开
数字签名密匙证书
⑹ 如何对EXE程序进行数字签名
方法一
1、购买或自己创立一个的数字签名证书文件。
有工具软件可以制作数字签名证书,比如openssl,但自签的,在别人的机器上,回出现签名无法校验的问题。除非人家信任,否则人家不会安装你的证书。
2、用工具软件对exe或其他任何文件,进行数字签名。 可以是免费的UI工具,比如:kSign;也可以类似signtool(微软的命令行工具);还可以操作系统的向导程序(比如微软Windows上的签名文件安装,导入并对文件数字签名的向导)。 xNix下,可以用GnuPG (gpg)从证书到签名,一次搞定。
3、你要是做程序开发的,可以利用signtool这样的命令行工具,写批处理,然后加入自己项目的make过程中自动加签。
⑺ 如何制作和应用数字签名证书
第一步,生成一个自签名的根证书(issuer,签发者)。
>makecert -n "CN=Root" -r -sv RootIssuer.pvk RootIssuer.cer
这个时候,会弹出提示框,首先给RootIssuer.pvk文件设置私钥保护口令;
然后,再次输入这个口令用私钥(在RootIssuer.pvk文件中)来给公钥(在RootIssuer.cer文件中)加密。
第二步,使用这个证书签发一个子证书(使用者,subject)。
>makecert -n "CN=Child" -iv RootIssuer.pvk -ic RootIssuer.cer -sv ChildSubject.pvk ChildSubject.cer
此时,会弹出提示框先给这个子证书的私钥文件ChildSubject.pvk设置保护口令;
然后,输入这个子证书的私钥(在ChildSubject.pvk中)口令来保护子证书的公钥(在ChildSubject.cer中)。
接下来会提示输入根证书私钥(在RootIssuer.pvk中)口令来签发整个子证书(公钥和用户信息)。
⑻ 如何导出pvk文件
所以,如果您想把双证书文件 .pvk 和 .spc 转换成一个 .pfx 格式证书文件,以简化签名过程和方便导入到 USB Key 中实现更加安全的签名管理,请参考本转换指南。而有些用户可能需要使用命令行方式来实现代码签名,即需要把 .pfx 格式签名证书文件转换成两个签名证书文件 .pvk 和 .spc ,也请参考本转换指南。 一、从 .pvk 和.spc 格式转换成 .pfx 格式(1) 下载微软的转换工具软件: pvkimprt.rar ,并成功安装; (2) 请确认您电脑上已经安装了颁发代码签名证书的中级根证书,如果没有,请先点击安装: WoSign代码签名中级根证书 和 交叉签名根证书 (3) 在 DOS 状态下,进入保存两个签名证书文件 mycert.pvk 和 mycert.spc 的目录,请键入命令: pvkimprt mycert.spc mykey.pvk 按提示输入私钥密码后,启动证书导入过程,按几个回车就成功把证书导入到 Windows 证书存储区,在 IE 浏览器的 “工具” —“ Internet 选项” — “内容” — “证书” — “个人”中就能看到您的签名证书,再点击“导出”就可以得到包含有签名证书公钥和私钥的 .pfx 格式证书。 请注意:在导出时要选中“如果可能,将所有证书包括到证书路径中”,并建议选中“如果导出成功删除密钥”以防止被他人非法导出。如果还需要导入使用,则再导入即可,此时导入的缺省是“不允许导出私钥”,从而保证了签名证书的安全。 请注意: pvkimprt 工具不支持跨操作系统,也就是说,如果您是在 Windows 2000 操作系统上生成的私钥文件 .pvk 的,则只能在 Windows 2000 操作系统中使用 pvkimprt 工具。 您也可以利用此工具来修改签名证书私钥文件 .pvk 的密码,只需要从 .pfx 格式证书文件中分离出私钥文件 .pvk 和公钥文件 .spc ,请参考如下转换指南。 二、从 .pfx 格式转换成 .pvk 和.spc 格式1. 需要使用 OpenSSL 来实现格式转换,如果没有OpenSSL ,则需要 下载 和安装一个 OpenSSL Win32 包; 2. 从 PFX 格式文件中提取私钥中间格式文件 (.key) ,假设 OpenSSL 的安装目录为: c:\program file\GnuWin32, PFX 格式文件目录: c:\cert\mycert.pfx ,在 DOS 状态下键入: cd\Program Files\GnuWin32\bin openssl pkcs12 -in mycert.pfx -nocerts -nodes -out mycert.key 会提示输入 .pfx 证书文件的密码,就是您从 IE 导出 PFX 备份文件时设置的密码,输入密码后会提示“ MAC verified OK ”,表示提取成功。 3. 使用 pvk.exe 来把 .key 格式文件转换成 .pvk 格式, 下载 pvk.exe 到 c:\cert 目录,在 DOS 状态下键入: pvk -in mycert.key -topvk -out mycert.pvk 会提示输入密码,和再次输入密码就完成转换。 4. 从 IE 中导出或下载 WoSign代码签名中级根证书 和 交叉签名根证书和导出您的代码签名证书的公钥 mycert.cer ,导出时选择 Base64 编码格式。 5. 使用签名工具包中的 cert2spc.exe 生成软件发行证书 .spc 格式文件, 下载 签名工具包,在 DOS 状态下键入: cert2spc class3code.crt ca1_xs1.crt mycert.cer mycert.spc 会提示 Success ,表示 SPC 文件生成成功。 这样就成功从 mycert.pfx 中得到了 mycert.pvk 和 mycert.spc 文件,实现了从 .pfx 格式证书文到 .pvk 和 .spc 格式证书文件的转换。
⑼ 如何:创建开发期间使用的临时证书
该证书通常是证书链的一部分,在计算机的受信任的根证书颁发机构存储区中可找到根证书颁发机构。拥有一个证书链,使您可以限定一组证书,其中根证书颁发机构通常来自于您的组织或业务单元。若要在开发时模拟此情况,请创建两个证书以满足安全要求。第一个证书是自签名证书,放置在受信任的根证书颁发机构存储区中;第二个证书是从第一个证书创建的,放置在本地计算机位置的个人存储区中或当前用户位置的个人存储区中。本主题指导您逐步完成使用 证书创建工具 (MakeCert.exe)创建这两个证书的步骤,该工具由 .NET Framework SDK 提供。重要提示证书创建工具生成的证书仅供测试使用。部署服务或客户程序时,请确保使用证书颁发机构提供的适当证书。这可能是来自于组织或第三方的 Windows Server 2003 证书服务器。默认情况下,Makecert.exe(证书创建工具) 创建根证书颁发机构称为“根证书代理”的证书。由于“根证书代理”不是受信任的根证书颁发机构存储区,这会使这些证书不安全。创建一个放置在受信任的根证书颁发机构存储区的自签名证书,您可以创建一个与您的部署环境极其类似的开发环境。有关创建和使用证书的更多信息,请参见使用证书。有关使用证书作为凭据的更多信息,请参见保护服务和客户端的安全。有关使用 Microsoft Authenticode 技术的教程,请参见 Authenticode 概述和教程(可能为英文网页)。创建一个自签名根证书颁发机构证书并导出私钥使用MakeCert.exe 工具和以下开关:-nsubjectName。指定主题名称。约定是为主题名的“公用名”添加前缀“CN = ”。-r。指定证书将自签名。-svprivateKeyFile。指定包含私钥容器的文件。例如,下面的命令创建一个主题名称为“CN=TempCA”的自签名证书。 makecert -n "CN=TempCA" -r -sv TempCA.pvk TempCA.cer 系统将提示您提供一个密码以保护私钥。在创建由此根证书签名的证书时需要此密码。创建一个由根证书颁发机构证书签名的新证书使用MakeCert.exe 工具和以下开关:-sksubjectKey。保存私钥的主题密钥容器的位置。如果密钥容器不存在,则将创建一个。如果既没有使用 -sk 选项,也没有使用 -sv 选项,则默认创建名为 JoeSoft 的密钥容器。-nsubjectName。指定主题名称。约定是为主题名的“公用名”添加前缀“CN = ”。-ivissuerKeyFile。指定颁发者的私钥文件。-icissuerCertFile。指定颁发者的证书位置。例如,下面的命令使用颁发者的私钥创建一个由 TempCA 根证书颁发机构证书签名的证书,其主题名称为 "CN=SignedByCA"。 makecert -sk SignedByCA -iv TempCA.pvk -n "CN=SignedByCA" -ic TempCA.cer SignedByCA.cer -sr currentuser -ss My 在受信任的根证书颁发机构存储区中安装证书创建自签名证书后,您可以将它安装到受信任的根证书颁发机构存储区中。任何使用该证书签名的证书在此处都受计算机的信任。为此,当您不再需要该证书时可立即将它从存储区中删除。当您删除此根证书颁发机构证书时,则由它签名的所有其他证书将成为未经授权的。根证书颁发机构证书只是一种机制,必要时可限定一组证书。例如,在对等应用程序中,通常不需要根证书颁发机构,因为您只信任由对方提供的证书的个体标识。在受信任的根证书颁发机构中安装自签名证书打开证书管理单元。有关更多信息,请参见如何:使用 MMC 管理单元查看证书.打开要存储证书的文件夹,“本地计算机”或“当前用户”。打开“受信任的根证书颁发机构”文件夹。右击“证书”文件夹,再单击“所有任务”,然后单击“导入”。按照屏幕向导说明,将 TempCa.cer 导入到存储区中。在WCF 中使用证书一旦安装了临时证书,就可以使用这些证书开发指定证书作为客户端凭据类型的 WCF 解决方案。例如,下面的 XML 配置指定消息安全模式,并指定证书作为客户端凭据类型。指定证书作为客户端凭据类型在服务的配置文件中,使用下面的 XML 将安全模式设置为消息,并将客户端凭据类型设置为证书。xmlLang <bindings> <wsHttpBinding> <binding name="CertificateForClient"> <security> <message clientCredentialType="Certificate" /> </security> </binding> </wsHttpBinding> </bindings> 在客户端的配置文件中,使用下面的 XML 指定证书存在于用户存储区中,可以通过在 SubjectName 字段中搜索“CohoWinery”值找到该证书。xmlLang <behaviors> <endpointBehaviors> <behavior name="CertForClient"> <clientCredentials> <clientCertificate findValue="CohoWinery" x509FindType="FindBySubjectName" /> </clientCredentials> </behavior> </endpointBehaviors> </behaviors> 有关在 WCF 中使用证书的更多信息,请参见使用证书。安全性请确保通过右击证书,再单击“删除”,从“受信任的根证书颁发机构”和“个人”文件夹中删除所有临时根证书颁发机构证书。
⑽ PVK 是什么文件
PVK是数字签名证书的密钥文件。