Cette documentation est archivée et n’est pas conservée.

Outil Certificate Creation Tool (Makecert.exe)

L'outil Certificate Creation Tool (Création de certificats) génère des certificats X.509 uniquement à des fins de tests. Il crée une paire de clés publique/privée pour les signatures numériques et l'enregistre dans un fichier de certificat. Il associe également cette paire de clés à un nom d'éditeur spécifié et crée un certificat X.509 liant un nom spécifié par l'utilisateur à la partie publique de la paire de clés.

Makecert.exe propose des options de base et des options avancées. Les options de base sont celles le plus fréquemment utilisées lors de la création d'un certificat. Les options avancées offrent une flexibilité accrue.

Les clés privées de certificat générées par cet outil ne doivent jamais être stockées dans des fichiers .snk. Si vous avez besoin de stocker une clé privée, vous devez utiliser un conteneur de clé. Pour plus d'informations sur la façon de stocker une clé privée dans un conteneur de clés, consultez Comment : stocker des clés asymétriques dans un conteneur de clé.

AttentionAttention

Vous devez utiliser un magasin de certificats pour stocker vos certificats en toute sécurité. Les fichiers .snk utilisés par cet outil stockent des clés privées sans protection. Lorsque vous créez ou importez un fichier .snk, vous devez veiller à le sécuriser pendant l'utilisation et à le supprimer lorsque vous avez terminé.


makecert [options] outputCertificateFile
Argument Description

outputCertificateFile

Nom du fichier .cer dans lequel le certificat de test X.509 sera écrit.

Option Description

-n x509name

Spécifie le nom du certificat du sujet. Ce nom doit être conforme à la norme X.500. La méthode la plus simple consiste à faire précéder le nom de CN= et d'entourer le tout de guillemets doubles ("CN=myName", par exemple).

-pe

Marque la clé privée générée comme étant exportable. Cela permet l'inclusion de la clé privée dans le certificat.

-sk keyname

Spécifie l'emplacement du conteneur de clé du sujet comportant la clé privée. Un conteneur de clé sera créé si aucun n'existe.

-sr location

Spécifie l'emplacement du magasin du certificat du sujet. Location peut être soit currentuser (valeur par défaut), soit localmachine.

-ss store

Spécifie le nom du magasin du certificat du sujet qui stocke le certificat de sortie.

-# number

Spécifie un numéro de série de 1 à 2 147 483 647. La valeur par défaut correspond à une valeur unique générée par Makecert.exe.

-$ authority

Spécifie l'autorité de signature du certificat, laquelle doit être définie comme étant commercial (pour les certificats utilisés par les éditeurs de logiciels commerciaux) ou individual (pour les certificats utilisés par les éditeurs de logiciels individuels).

-?

Affiche la syntaxe de commande et la liste des options de base de l'outil.

-!

Affiche la syntaxe de commande et la liste des options avancées de l'outil.

Option Description

-a algorithm

Spécifie l'algorithme de signature. Doit être md5 (valeur par défaut) ou sha1.

-b mm/dd/yyyy

Spécifie le début de la période de validité. La valeur par défaut correspond à la date de création du certificat.

-cy certType

Spécifie le type de certificat. Les valeurs valides sont end pour l'entité finale et authority pour l'Autorité de certification.

-d name

Affiche le nom du sujet.

-e mm/dd/yyyy

Spécifie la fin de la période de validité. La valeur par défaut correspond au 31/12/2039 à 11:59:59 GMT.

-eku oid[,oid]

Insère dans le certificat une liste d'identificateurs d'objets séparés par des virgules et destinés à l'utilisation améliorée de la clé.

-h number

Spécifie la hauteur maximale de l'arborescence en dessous de ce certificat.

-ic file

Spécifie le fichier de certificat de l'émetteur.

-ik keyName

Spécifie le nom du conteneur de clé de l'émetteur.

-iky keytype

Spécifie le type de clé de l'émetteur, qui doit être signature, exchange ou un entier qui représente un type de fournisseur. Par défaut, vous pouvez passer 1 pour une clé d'échange et 2 pour une clé de signature.

-in name

Spécifie le nom commun du certificat de l'émetteur.

-ip provider

Spécifie le nom du fournisseur CryptoAPI de l'émetteur.

-ir location

Spécifie l'emplacement du magasin du certificat de l'émetteur. Location peut être soit currentuser (valeur par défaut) soit localmachine.

-is store

Spécifie le nom du magasin du certificat de l'émetteur.

-iv pvkFile

Spécifie le fichier de clé privée .pvk de l'émetteur.

-iy pvkFile

Spécifie le type de fournisseur CryptoAPI de l'émetteur.

-l link

Établit un lien vers des informations de stratégie (URL, par exemple).

-m number

Spécifie la durée, en mois, de la période de validité du certificat.

-nscp

Inclut l'extension d'autorisation cliente Netscape.

-r

Crée un certificat autosigné.

-sc file

Spécifie le fichier de certificat du sujet.

-sky keytype

Spécifie le type de clé du sujet, qui doit être signature, exchange ou un entier qui représente un type de fournisseur. Par défaut, vous pouvez passer 1 pour une clé d'échange et 2 pour une clé de signature.

-sp provider

Spécifie le nom du fournisseur CryptoAPI du sujet.

-sv pvkFile

Spécifie le fichier de clé privée .pvk du sujet. Le fichier est créé s'il n'existe pas déjà.

-sy type

Spécifie le type de fournisseur CryptoAPI du sujet.

La commande suivante crée un certificat de test émis par la racine de test par défaut et l'écrit dans testCert.cer.

makecert testCert.cer

La commande suivante crée un certificat émis par la racine de test par défaut et l'enregistre dans un magasin de certificats.

makecert -ss testCertStore

La commande suivante crée un certificat émis par la racine de test par défaut et l'enregistre dans un magasin de certificats. Il place explicitement le certificat dans le magasin currentuser.

makecert -ss testCertStore -sr currentuser

La commande suivante crée un certificat de test et l'écrit dans textXYZ.cer, à l'aide du conteneur de clé du sujet et du nom X.500 du sujet du certificat.

makecert -sk XYZ -n "CN=XYZ Company" testXYZ.cer 

La commande suivante crée un certificat émis par la racine de test par défaut, crée un fichier .pvk et renvoie le certificat dans le magasin et dans le fichier.

makecert -sv testCert.pvk -ss testCertStore testCert.cer

La commande suivante crée un certificat émis par la racine de test par défaut, crée un conteneur de clés et renvoie le certificat dans le magasin et dans le fichier.

makecert -sk myTestKey -ss testCertStore testCert.cer

La commande suivante crée un certificat signé automatiquement, spécifie un nom du sujet "Société CN=XYZ", spécifie des périodes de début et de fin de validité, place la clé dans le magasin my, spécifie une clé d'échange et rend la clé privée exportable.

makecert -r -pe -n "CN=XYZ Company" -b 01/01/2005 -e 01/01/2010 -sky exchange -ss my

Les commandes suivantes créent des certificats, puis les enregistrent dans des magasins. La première commande crée un certificat à l'aide de la racine de test par défaut et l'enregistre dans un magasin. La deuxième commande crée un autre certificat à l'aide du certificat créé récemment et l'enregistre dans un autre magasin.

makecert -sk myTestKey -ss testCertStore
makecert -is testCertStore -ss anotherTestStore

Les commandes suivantes créent des certificats, puis les enregistrent dans des magasins. La première commande enregistre le certificat dans le magasin my. La deuxième commande crée un autre certificat à l'aide du certificat créé récemment. Parce qu'il y a plusieurs certificats dans le magasin my, la deuxième commande identifie le premier certificat à l'aide de son nom commun.

makecert -sk myTestKey -n "CN=XXZZYY" -ss my
makecert -is my -in "XXZZYY" -ss anotherTestStore

Les commandes suivantes créent des certificats, puis les enregistrent dans des fichiers et magasins. La première commande crée un certificat à l'aide de la racine de test par défaut et l'enregistre dans le magasin my et dans un fichier. La deuxième commande crée un autre certificat à l'aide du certificat testCert.cer créé récemment. Parce qu'il y a plusieurs certificats dans le magasin my, la deuxième commande identifie le premier certificat à l'aide du nom de fichier de certificat.

makecert -sk myTestKey -n "CN=XXZZYY" -ss my testCert.cer
makecert -is my -ic testCert.cer -ss anotherTestStore
Afficher: