数字身份认证技术第六章

1、第六章第六章微软数字认证微软数字证书工具微软数字证书工具微软数字证书工具微软数字证书工具本章学习目标本章学习目标理解并掌握MAKECERT原理及工具应用理解并掌握签名工具SIGNCODE原理及工具应用理解并掌握发行者证书管理工具CERT2SPC原理及工具应用理解并掌握证书验证工具CHKTRUST原理及工具应用微软数字证书工具微软数字证书工具微软数字证书工具微软数字证书工具 微软开发制作数字证书的测试工具集，Makecert.exe，Cert2spc.exe，SignCode.exe，Setreg.exe，Certmgr.exe，Chkrtust.exe。微软数字证书工具微软数字证书工具微软数字

2、证书工具微软数字证书工具1.Makecert.exe：用于生成仅用于测试目的的X.509证书。2.Cert2spc.exe：用于从一个或多个X.509证书创建发行者证书（SPC）。3.SignCode.exe：用于Authenticode数字签名对可移植的执行文件（PE）进行签名。4. Setreg.exe：用于允许更改“软件发布状态”密钥的注册表设置。5. Certmgr.exe：用于管理证书、证书信任列表（CTL）和证书吊销列表（CRL）。6.Chkrtust.exe：用于检验签名证书的正确性。微软数字证书工具微软数字证书工具微软数字证书工具微软数字证书工具 6.1证书创建工具makece

3、rt 功能：创建X.509数字证书 调用格式：Makecert options outputCertificateFile 其中options为选项部份，outputCertificatefile为新创建的X.509证书的证书名。 Options又由基本选项与扩展选项组成，参照教材P177. 微软数字证书工具微软数字证书工具微软数字证书工具微软数字证书工具 参数说明常用选项微软数字证书工具微软数字证书工具微软数字证书工具微软数字证书工具 参数说明扩展选项微软数字证书工具微软数字证书工具微软数字证书工具微软数字证书工具 参数说明扩展选项微软数字证书工具微软数字证书工具微软数字证书工具微软数字证书

4、工具 调用范例： 调用说明： -sr CurrentUser 指定主题的证书存储位置。 CurrentUser可以是 currentuser（默认值）或 localmachine -ss My 指定主题的证书存储名称，输出证书即存储在那里。My表示保存在“个人”范例makecert -sr CurrentUser -ss My -n CN=MyTestCert -sky exchange -pe微软数字证书工具微软数字证书工具微软数字证书工具微软数字证书工具 -n CN=MyTestCert 指定主题的证书名称。此名称必须符合 X.500 标准。最简单的方法是在双引号中指定此名称，并加上前缀

5、CN=；例如，CN=myName。 -sky exchange 指定颁发者的密钥类型，必须是 signature、exchange 或一个表示提供程序类型的整数。默认情况下，可传入 1 表示交换密钥，传入 2 表示签名密钥。 -pe 将所生成的私钥标记为可导出。这样可将私钥包括在证书中。微软数字证书工具微软数字证书工具微软数字证书工具微软数字证书工具Makecert工具应用（1）证书管理 Makecert命令生成的证书被保存在证书存储区。证书存储区是系统中一个特殊区域， 专门用来保存X.509数字证书。由于Windows没有提供直接的管理证书的入口。需要用户自行在MMC中添加，步骤如下： 开始

6、 运行 MMC，打开一个空的MMC控制台，如图6-1所示。 在控制台菜单，文件 添加/删除管理单元 添加按钮 选”证书” 添加 选”我的用户账户” /“计算机帐户” 关闭 确定微软数字证书工具微软数字证书工具微软数字证书工具微软数字证书工具（2）数字证书导入与导出首先对需要导入的证书文件，双击pfx或者cer格式的证书，选择“安装”，进入证书导入向导。微软数字证书工具微软数字证书工具微软数字证书工具微软数字证书工具当导入的是pfx证书时，需要输入私钥密码，如果是cer证书就跳过这一步，进入证书存储区选择。微软数字证书工具微软数字证书工具微软数字证书工具微软数字证书工具最后在证书管理区查看导入的

7、证书：微软数字证书工具微软数字证书工具微软数字证书工具微软数字证书工具如果需要将存储区中的证书导出，首先在M需要导出证书上点击右键 所有任务 导出，证书导出向导运行。微软数字证书工具微软数字证书工具微软数字证书工具微软数字证书工具选择导出含私钥的证书生成pfx格式的证书。微软数字证书工具微软数字证书工具微软数字证书工具微软数字证书工具如果选择了不导出私钥或者选择导出的证书本身就不含有私钥，那么这一步只能选不含私钥的证书格式（导入私钥的选项是暗的）。这里是导出不含私钥证书的选项，一般导出为cer证书，接着就是输入确认密码。微软数字证书工具微软数字证书工具微软数字证书工具微软数字证书工具提供证书文

8、件的路径，作为最终证书在硬盘中的存储位置微软数字证书工具微软数字证书工具微软数字证书工具微软数字证书工具 6.2签名工具Signcode 功能：应用数字签名工具Signcode可以对可移植可执行（PE）文件如.dll 或 .exe 文件进行数字签名。可以对多文件程序集中包含的某个程序集或个别的文件进行签名。 调用格式：Signcode options filename | assemblyname 微软数字证书工具微软数字证书工具微软数字证书工具微软数字证书工具 参数说明：微软数字证书工具微软数字证书工具微软数字证书工具微软数字证书工具微软数字证书工具微软数字证书工具微软数字证书工具微软数字证

9、书工具 调用范例: 调用说明：微软数字证书工具微软数字证书工具微软数字证书工具微软数字证书工具Signcode工具应用（1）运行Signcode启动签名向导，点击“下一步”后，选择“签名类型”，直接点击“下一步”即可，即选择缺省的“典型”签名类型。（2）点击“从存储区选择”，则会显示您的电脑证书存储区的所有证书，包括存储在电脑和USBkey中的所有数字证书，选择您的签名证书即可：微软数字证书工具微软数字证书工具微软数字证书工具微软数字证书工具填写该签名代码的功能描述，推荐一定要认真填写，因为此信息将会在最终用户下载此代码时显示，有助于最终用户了解此代码的功能以确定是否下载安装。微软数字证书工具

10、微软数字证书工具微软数字证书工具微软数字证书工具选中“将时间戳添加到数据中”，请使用VeriSign 免费提供的代码签名时间戳URL：http:/ 6-17所示，会提示已经完成数字签名向导，点击“完成”就完成了中文版代码签名证书的代码签名。微软数字证书工具微软数字证书工具微软数字证书工具微软数字证书工具 6.3 发行者证书管理工具Cert2spc 功能：通过一个或多个 X.509 证书创建发行者证书（SPC）。 调用格式：Cert2spc cert1.cer | crl1.crl . certN.cer | crlN.crl outputSPCfile.spc 微软数字证书工具微软数字证书工具微软数字证书工具微软数字证书工具参数说明调用范例 从dream.cer创建一个SPC（发行者证书）并将其放入到mydream.spc调用说明微软数字证书工具微软数字证书工具微软数字证书工具微软数字证书工具 6.4 证书验证工具Chktrust 功能：用于验证用X.509证书签名的文