MakeCert

Remarque

MakeCert est déconseillé. Pour créer des certificats auto-signés, utilisez l'applet de commande Powershell New-SelfSignedCertificate.

 

L'outil MakeCert crée un certificat X.509, signé par la clé racine de test ou une autre clé spécifiée, qui lie votre nom à la partie publique de la paire de clés. Le certificat est enregistré dans un fichier, un magasin de certificats système ou les deux. L’outil est installé dans le dossier \Bin du chemin d’installation du kit de développement logiciel (SDK) Microsoft Windows.

Vous pouvez télécharger le Kit de développement logiciel (SDK) Windows à partir du Centre de développement Windows.

L’outil MakeCert utilise la syntaxe de commande suivante :

MakeCert [BasicOptions|ExtendedOptions] OutputFile

OutputFile est le nom du fichier dans lequel le certificat sera écrit. Vous pouvez omettre OutputFile si le certificat ne doit pas être écrit dans un fichier.

Options

MakeCert inclut des options de base et étendues. Les options de base sont celles qui sont le plus couramment utilisées pour créer un certificat. Les options étendues offrent une plus grande flexibilité.

Les options de MakeCert sont également divisées en trois groupes fonctionnels :

  • Options de base propres à la technologie du magasin de certificats uniquement.
  • Options étendues propres aux technologies de fichier SPC et de clé privée uniquement.
  • Options étendues applicables aux technologies de fichiers SPC, de clé privée et de magasin de certificats.

Les options fournies dans les tableaux suivants peuvent être utilisées uniquement avec Internet Explorer 4.0 ou version ultérieure.

Option de base Description
-aAlgorithm Algorithme de hachage. Doit être défini sur SHA-1 ou MD5 (valeur par défaut). Pour plus d'informations sur MD5, consultez la section MD5.
-bDateStart Date à laquelle le certificat devient valide pour la première fois. La valeur par défaut correspond à la date de création du certificat. Le format de DateStart est mm/jj/aaaa.
-cyCertificateTypes Type de certificat. Les CertificateTypes peuvent être définis sur end, pour entité finale, ou sur authority, pour autorité de certification.
-eDateEnd Date à laquelle la période de validité se termine. La valeur par défaut est l'année 2039.
-ekuOID1,OID2 Insère une liste d’un ou plusieurs identificateurs d’objets (OID) d’utilisation améliorée de la clé séparés par des virgules dans le certificat. Par exemple, -eku 1.3.6.1.5.5.7.3.2 insère l’OID d’authentification du client. Pour connaître les définitions d’OID autorisés, consultez le fichier Wincrypt.h dans CryptoAPI 2.0.
-hNumChildren Hauteur maximale de l’arborescence située sous ce certificat.
-lPolicyLink Lien vers les informations de stratégie de l’agence SPC (par exemple, une URL).
-mnMonths Durée de la période de validité.
-n"Name" Nom du certificat de l’éditeur. Ce nom doit être conforme à la norme X.500. La méthode la plus simple consiste à utiliser le format CN=MyName. For example: -n "CN=Test".
-nscp L’extension d’authentification du client Netscape doit être incluse.
-pe Marque la clé privée comme exportable.
-r Crée un certificat auto-signé.
-scSubjectCertFile Nom de fichier de certificat avec la clé publique du sujet existante à utiliser.
-skSubjectKey Emplacement du conteneur de clé du sujet comportant la clé privée. Un conteneur de clé sera créé s'il n'en existe aucun. Si aucune des options -sk ou -sv n'est utilisée, un conteneur de clé par défaut est créé et utilisé par défaut.
-skySubjectKeySpec Spécification de clé du sujet. SubjectKeySpec doit être l’une des trois valeurs possibles :
  • Signature (spécification de clé AT_SIGNATURE)
  • Exchange (spécification de clé AT_KEYEXCHANGE)
  • Entier, tel que 3
Pour plus d’informations, consultez la Remarque qui suit ce tableau.
-spSubjectProviderName Fournisseur CryptoAPI du sujet. La valeur par défaut est le fournisseur de l’utilisateur. Pour plus d’informations sur les fournisseurs CryptoAPI, consultez la documentation CryptoAPI 2.0.
-srSubjectCertStoreLocation Emplacement du registre du magasin de certificats du sujet. SubjectCertStoreLocation doit être LocalMachine (clé de registre HKEY_LOCAL_MACHINE) ou CurrentUser (clé de registre HKEY_CURRENT_USER). La valeur par défaut est CurrentUser.
-ssSubjectCertStoreName Nom du magasin de certificats du sujet dans lequel le certificat généré sera stocké.
-svSubjectKeyFile Nom du fichier .pvk du sujet. Si aucune des options -sk ou -sv n'est utilisée, un conteneur de clé par défaut est créé et utilisé par défaut.
-synSubjectProviderType Type de fournisseur CryptoAPI pour le sujet. La valeur par défaut est PROV_RSA_FULL. Pour plus d’informations sur les types de fournisseurs CryptoAPI, consultez la documentation CryptoAPI 2.0.
-#SerialNumber Numéro de série du certificat. La valeur maximale est 2^31. La valeur par défaut est générée par l’outil qui est garanti comme unique.
-$CertificateAuthority Type d’autorité de certification. CertificateAuthority doit être défini sur commercial (pour que les certificats soient utilisés par les éditeurs de logiciels commerciaux) ou individual (pour que les certificats soient utilisés par des éditeurs de logiciels individuels).
-? Affiche les options de base.
-! Affiche les options étendues.

 

Remarque

Si l’option de spécification de clé -sky est utilisée dans Internet Explorer version 4.0 ou ultérieure, la spécification doit correspondre à la spécification de clé indiquée par le fichier de clé privée ou le conteneur de clés privées. Si l’option de spécification de clé n’est pas utilisée, la spécification de clé indiquée par le fichier de clé privée ou le conteneur de clés privées sera utilisée. S’il existe plusieurs spécifications de clé dans le conteneur de clés, MakeCert tente d’abord d’utiliser la spécification de clé AT_SIGNATURE. En cas d’échec, MakeCert tente d’utiliser AT_KEYEXCHANGE. Étant donné que la plupart des utilisateurs disposent d’une clé AT_SIGNATURE ou d’une clé AT_KEYEXCHANGE, cette option n'est pas utile dans la plupart des cas.

 

Les options suivantes concernent uniquement les fichiers SPC (Software Publisher Certificate) et la technologie de clé privée.

Option SPC et clé privée Description
-icIssuerCertFile Emplacement du certificat de l’émetteur.
-ikIssuerKey Emplacement du conteneur de clés de l’émetteur. La valeur par défaut est la clé racine de test.
-ikyIssuerKeySpec Spécification de la clé de l’émetteur, qui doit être l’une des trois valeurs possibles :
  • Signature (spécification de clé AT_SIGNATURE)
  • Exchange (spécification de clé AT_KEYEXCHANGE)
  • Entier, tel que 3
Pour plus d’informations, consultez la Remarque qui suit ce tableau.
-ipIssuerProviderName Fournisseur CryptoAPI pour l’émetteur. La valeur par défaut est le fournisseur de l’utilisateur. Pour plus d’informations sur les fournisseurs CryptoAPI, consultez la documentation CryptoAPI 2.0.
-ivIssuerKeyFile Fichier de clé privée de l’émetteur. La valeur par défaut est la racine de test.
-iynIssuerProviderType Type de fournisseur CryptoAPI pour l’émetteur. La valeur par défaut est PROV_RSA_FULL. Pour plus d’informations sur les types de fournisseurs CryptoAPI, consultez la documentation CryptoAPI 2.0.

 

Remarque

Si l’option de spécification de clé -iky est utilisée dans Internet Explorer 4.0 ou version ultérieure, la spécification doit correspondre à la spécification de clé indiquée par le fichier de clé privée ou le conteneur de clés privées. Si l’option de spécification de clé n’est pas utilisée, la spécification de clé indiquée par le fichier de clé privée ou le conteneur de clés privées sera utilisée. S’il existe plusieurs spécifications de clé dans le conteneur de clés, MakeCert tente d’abord d’utiliser la spécification de clé AT_SIGNATURE. En cas d’échec, MakeCert tente d’utiliser AT_KEYEXCHANGE. Étant donné que la plupart des utilisateurs disposent d’une clé AT_SIGNATURE ou d’une clé AT_KEYEXCHANGE, cette option n'est pas utile dans la plupart des cas.

 

Les options suivantes concernent uniquement la technologie du magasin de certificats.

Option de magasin de certificats Description
-ic IssuerCertFile Fichier qui contient le certificat de l'émetteur. MakeCert effectue une recherche dans le magasin de certificats pour trouver un certificat avec une correspondance exacte.
-in IssuerNameString Nom courant du certificat de l'émetteur. MakeCert recherche dans le magasin de certificats un certificat dont le nom commun inclut IssuerNameString.
-ir IssuerCertStoreLocation Emplacement du registre du magasin de certificats de l’émetteur. IssuerCertStoreLocation doit être LocalMachine (clé de registre HKEY_LOCAL_MACHINE) ou CurrentUser (clé de registre HKEY_CURRENT_USER). La valeur par défaut est CurrentUser.
-is IssuerCertStoreName Magasin de certificats de l’émetteur qui inclut le certificat de l’émetteur et ses informations de clé privée associées. S’il existe plusieurs certificats dans le magasin, l’utilisateur doit l’identifier de manière unique à l’aide de l’option -ic ou -in. Si le certificat dans le magasin de certificats n’est pas identifié de manière unique, MakeCert échoue.