MakeCert – creazione di certificati CA e Host

Tramite l’utility makecert è possibile creare certificati x-509 self-signed per scopi di test senza ricorrere all’utilizzo di CA pubbliche
L’utility makecert.exe è parte del pacchetto SDK ed è utilizzabile a partire dalla cartella \bin del percorso di installazione.

Generazione di certificato di tipo CA

makecert.exe -n CN=test-local-Root -r -pe -a sha512 -len 4096 -cy authority -sv test-local-CARoot.pvk test-local-CARoot.cer

le opzioni utilizzate nell’esempio sono:
-n ” specifica il nome del “subject del certificato” p.es CN=Mario Rossi
-pe definisce la chiave privata esportabile in modo da poterla includere nel certificato stesso
-cy l’opzione consente di definire il certificato per entità finale “end” oppure “authority” ossia una CA
-sv consente di definire in file contenente la chiave privata
-r dichiara che il certificato è “self-signed”
-a definisce l’algoritmo di firma, di default viene generato con l’algoritmo sha1
-len definisce la lunghezza in bit della chiave

di default il certificato, se non è specificata l’opzione -e “mm/gg/aaaa” scade il primo gennaio 2040

 

Generazione  di un certificato host generato a partire dalla CA creata in precedenza

makecert.exe -n CN=test.local -iv test-local-CARoot.pvk -ic test-local-CARoot.cer -pe -a sha512 -len 4096 -sky exchange -eku 1.3.6.1.5.5.7.3.1 -sv dc01.pvk dc01.cer

CN definisce il nome host se composto da un FQDN completo.
Altrimenti se dichiarato come sopra oppure con *.test.local è di tipo wildcard
-iv dichiara il file contenente la chiave privata generata per la CA
-ic dichiara il file contenente il certificato della CA
-sky exchange definisce che la chiave è usata per scambio di chiavi e crittografia, se il certificato fosse usato per firma digitale, questo parametro dovrebbe essere dichiarato “signature”
-eku 1.3.6.1.5.5.7.3.1 oid del certificato ossia l’Object Identifier in questo caso indica un certificato SSL server
-sv dc01.pvk
dc01.cer nome del file contenente il certificato vero e proprio

dowlnload

il file makecert è disponibile qui

riferimenti
https://msdn.microsoft.com/en-us/library/windows/desktop/aa386968(v=vs.85).aspx

RFC relativa alla Internet X.509 Public Key Infrastructure Certificate
https://tools.ietf.org/html/rfc5280#page-110

Database relativo alla definizione dei vari OIDs
http://www.oid-info.com/

https://en.wikipedia.org/wiki/Object_identifier

Annunci

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...