makecertコマンド
Windowsの証明書作成ツール。証明書作成ツールは、テスト目的専用の X.509 証明書を生成します。このツールは、デジタル署名用の公開キーと秘密キーのペアを作成し、証明書ファイルの中に格納します。また、このキー ペアと指定された発行元の名前を関連付けて、ユーザー指定の名前とキー ペアの公開部分を結びつける X.509 証明書を作成します。
Makecert.exe には基本オプションと拡張オプションがあります。証明書の作成に最も一般的に使用されるのは基本オプションです。拡張オプションを使用すると、証明書をより柔軟に設定できます。
このツールで生成された証明書の秘密キーは、.snk ファイルに格納しないでください。秘密キーを格納する必要がある場合は、キー コンテナを使用することをお勧めします。秘密キーをキー コンテナに格納する方法の詳細については、
「方法 : キー コンテナに非対称キーを格納する」を参照してください。
注意
証明書を安全に格納するには、証明書ストアを使用する必要があります。
このツールで使用する .snk ファイルでは、秘密キーは保護されない状態で格納されます。
このため .snk ファイルを作成またはインポートする場合、
.snk ファイルの使用中はセキュリティに細心の注意を払い、作業が終了したらファイルを必ず削除してください。
基本的な使い方は以下の通り。
makecert [options] outputCertificateFile
基本オプション
| -n x509name |
"サブジェクトの証明書名を指定します。この名前は X.500 標準に準拠する必要があります。最も簡単な方法は、名前の前に CN= を付けて二重引用符で囲んで指定する方法です。たとえば、""CN=myName"" とします。" |
| -pe |
生成された秘密キーをエクスポート可能と見なします。これにより、秘密キーを証明書に組み込むことができるようになります。 |
| -sk keyname |
秘密キーを含む、サブジェクトのキー コンテナの位置を指定します。キー コンテナが存在しない場合は、このオプションで作成されます。 |
| -sr location |
サブジェクトの証明書ストアの位置を指定します。Location として currentuser (既定値) または localmachine を指定できます。 |
| -ss store |
出力される証明書を格納する、サブジェクトの証明書ストア名を指定します。 |
| -# number |
"1 から 2,147,483,647 までのシリアル番号を指定します。既定値は、Makecert.exe によって生成される一意の値です。" |
| -$ authority |
証明書の署名機関を指定します。commercial (商用ソフトウェアの発行元が使用する証明書の場合) または individual (個人ソフトウェアの発行元が使用する証明書の場合) を設定する必要があります。 |
| -? |
このツールのコマンド構文と基本オプションの一覧を表示します。 |
| -! |
このツールのコマンド構文と拡張オプションの一覧を表示します。 |
拡張オプション
| -a algorithm |
署名アルゴリズムを指定します。md5 (既定値) または sha1 を指定する必要があります。 |
| -b mm/dd/yyyy |
有効期間の開始日を指定します。既定値は証明書の作成日です。 |
| -cy certType |
証明書の種類を指定します。有効な値は、エンド エンティティの場合には end、証明機関の場合には authority です。 |
| -d name |
サブジェクトの名前を表示します。 |
| -e mm/dd/yyyy |
有効期間の終了日を指定します。既定値は 12/31/2039 11:59:59 GMT です。 |
| "-eku oid[,oid]" |
コンマ区切りの、拡張キー用途オブジェクト識別子 (OID) の一覧を証明書に挿入します。 |
| -h number |
この証明書の下の、ツリーの高さの最大値を指定します。 |
| -ic file |
発行元の証明書ファイルを指定します。 |
| -ik keyName |
発行元のキー コンテナ名を指定します。 |
| -iky keytype |
発行元のキーの種類を指定します。signature、exchange、またはプロバイダ型を表す整数を指定する必要があります。既定では、exchange キーに 1、signature キーに 2 を渡すことができます。 |
| -in name |
発行元の証明書共通名を指定します。 |
| -ip provider |
発行元の CryptoAPI プロバイダ名を指定します。 |
| -ir location |
発行元の証明書ストアの位置を指定します。Location として currentuser (既定値) または localmachine を指定できます。 |
| -is store |
発行元の証明書ストア名を指定します。 |
| -iv pvkFile |
発行元の秘密キー ファイル .pvk を指定します。 |
| -iy pvkFile |
発行元の CryptoAPI プロバイダの種類を指定します。 |
| -l link |
ポリシー情報 (たとえば URL) とリンクします。 |
| -m number |
証明書の有効期間の長さを月単位で指定します。 |
| -nscp |
Netscape のクライアント承認拡張機能を組み込みます。 |
| -r |
自己署名証明書を作成します。 |
| -sc file |
サブジェクトの証明書ファイルを指定します。 |
| -sky keytype |
サブジェクトのキーの種類を指定します。signature、exchange、またはプロバイダ型を表す整数を指定する必要があります。既定では、exchange キーに 1、signature キーに 2 を渡すことができます。 |
| -sp provider |
サブジェクトの CryptoAPI プロバイダ名を指定します。 |
| -sv pvkFile |
サブジェクトの秘密キー ファイル .pvk を指定します。ファイルが存在しない場合は、このオプションで作成されます。 |
| -sy type |
サブジェクトの CryptoAPI プロバイダの種類を指定します。 |
例)
makecert -n CN=myCA -sky signature -sk myCA-Key -sr LocalMachine -ss Root -r myCA.cer
| オプション |
意味 |
| -n CN=X_509_NAME |
X.509 証明書名を指定 |
| -sky KEY_TYPE |
サブジェクトのキーの種類を指定。signature、exchange、またはプロバイダ型を表す整数を指定する必要がある。既定では、exchange キーに 1、signature キーに 2 を渡すことができる。 |
| -sk KEY_NAME |
秘密キーを含む、サブジェクトのキー コンテナの位置を指定する。キー コンテナが存在しない場合は、このオプションで作成される。 |
| -sr LOCATION |
サブジェクトの証明書ストアの位置を指定する。Location として currentuser (既定値) または localmachine を指定できます。 |
| -ss STORE |
出力される証明書を格納する、サブジェクトの証明書ストア名を指定する。 |
| -r |
自己署名証明書を作成する。 |
LINK
最終更新:2011年06月06日 21:37
