use*_*291 8 .net certificate pki
通过指定-pe开关(使用Makecert实用程序),我们可以将私钥导出.
a)私钥可以出口是什么意思?我们可以将创建的.pvk文件(包含私钥)复制到另一个系统并在那里使用它?
b)如果是这样,那么我假设.pvk仅在要导出私钥时才创建?!因此,当我们不想导出私钥时如何使用/获取私钥,因此–pe在创建证书时不指定switch?
谢谢
dth*_*rpe 12
Makecert将密钥对的私钥存储在本地计算机的安全区域中.如果私钥未标记为可导出,则系统将不允许任何人将该私钥导出到可以在另一台计算机上复制或安装的可传输证书文件.
这意味着,如果未为MakeCert指定-pe命令行选项,则创建的证书只能用于解密该计算机上的数据.公钥可以分发给其他人用于加密数据,但只有这台机器可以使用私钥解密该数据.
这对于最大程度的安全性是一件好事.机器用户或网络攻击者只能通过将私钥导出到文件并随文件运行来窃取私钥.
但是,它不是最方便易用的.如果您打算让多台计算机解密使用公钥加密的数据,则需要使用exportable选项创建密钥,以便您可以导出公钥/私钥对并将其安装在要解密数据的其他计算机上上.