X509 證書生成

X509證書介紹

X.509 是由國際電信聯盟（ITU-T）制定的數字證書标準，相信這是人盡皆知的了，目前X.509證書據我所知有三個版本，.net中使用的是x.509-2，X.509-2 版引入了主體和簽發人唯一辨別符的概念，以解決主體和/或簽發人名稱在一段時間後可能重複使用的問題，x509-2(以下簡稱x509)證書由兩把鑰匙組成，通常稱之為密鑰對，公鑰加密，私鑰解密。今天我想在這裡對x509進行一個深入的介紹和了解，因為在WCF的安全體系中，x509證書應用是非常頻繁的，或者說是不可缺少的。

1、如何生成證書？ 

  使用微軟提供的Makecert.exe測試證書生成工具可以很好的幫助我們得到一個x509标準證書，具體方法如下：下載下傳Makecert.exe或者定位到你的計算機目錄：C:\Program Files\Microsoft SDKs\Windows\v6.0A\bin下，找找就看見了，我強烈建議你copy Makecert.exe到一個單獨的目錄中，如copy到D:\\cers。

　　現在點選開始菜單-運作-輸入cmd，運作控制台應用程式，定位到D:\\cers，在控制台輸入：makecert -r  -pe  -$  individual -n “CN=mailSecurity” -sky exchange -sr currentuser -ss my mailSecurity.cer，即可在目前使用者證書存儲區下的個人區中生成一個名為mailSecurityr的x509證書，并在目前目錄輸出了證書檔案mailSecurity.cer，以下簡單介紹一下各種參數意義，更複雜的參數請參考：證書建立工具幫助

makecert 證書工具名

-r　　表示即将生成的證書是自我簽署的，自己給自己發獎(這裡主要是指頒發機構）

-pe　　表示将所生成的私鑰标記為可導出。這樣可将私鑰包括在證書中

-$　　證書是個人用還是商用(individual/commercial）老美就是搞啊，這玩意用美元符号還真是形象得很。

-n　　表示證書主題，你就當它是标題吧，不管你取什麼名字，必須包含CN＝字首

-sky　　指定主題的密鑰類型，必須是 signature、exchange 或一個表示提供程式類型的整數。預設情況下，可傳入 1 表示交換密鑰，傳入 2 表示簽名密鑰

-sr　　指定主題的證書存儲位置。Location 可以是 currentuser（預設值）或 localmachine（實際是必須是這兩個中的一個值)

-ss　　指定主題的證書存儲名稱，輸出證書即存儲在那裡 

mailSecurity.cer  證書名稱，不必與主題一緻，不過建議你還是緻的好。

作者：釋迦苦僧

出處：http://www.cnblogs.com/woxpp

本文版權歸作者和部落格園共有，歡迎轉載，但未經作者同意必須保留此段聲明，且在文章頁面明顯位置給出原文連接配接。

生活不易,五行缺金，求打點