X509 证书生成

X509证书介绍

X.509 是由国际电信联盟（ITU-T）制定的数字证书标准，相信这是人尽皆知的了，目前X.509证书据我所知有三个版本，.net中使用的是x.509-2，X.509-2 版引入了主体和签发人唯一标识符的概念，以解决主体和/或签发人名称在一段时间后可能重复使用的问题，x509-2(以下简称x509)证书由两把钥匙组成，通常称之为密钥对，公钥加密，私钥解密。今天我想在这里对x509进行一个深入的介绍和了解，因为在WCF的安全体系中，x509证书应用是非常频繁的，或者说是不可缺少的。

1、如何生成证书？ 

  使用微软提供的Makecert.exe测试证书生成工具可以很好的帮助我们得到一个x509标准证书，具体方法如下：下载Makecert.exe或者定位到你的计算机目录：C:Program FilesMicrosoft SDKsWindowsv6.0Ain下，找找就看见了，我强烈建议你copy Makecert.exe到一个单独的目录中，如copy到D:\cers。

　　现在点击开始菜单-运行-输入cmd，运行控制台应用程序，定位到D:\cers，在控制台输入：makecert -r  -pe  -$  individual -n “CN=mailSecurity” -sky exchange -sr currentuser -ss my mailSecurity.cer，即可在当前用户证书存储区下的个人区中生成一个名为mailSecurityr的x509证书，并在当前目录输出了证书文件mailSecurity.cer，以下简单介绍一下各种参数意义，更复杂的参数请参考：证书创建工具帮助

makecert 证书工具名

-r　　表示即将生成的证书是自我签署的，自己给自己发奖(这里主要是指颁发机构）

-pe　　表示将所生成的私钥标记为可导出。这样可将私钥包括在证书中

-$　　证书是个人用还是商用(individual/commercial）老美就是搞啊，这玩意用美元符号还真是形象得很。

-n　　表示证书主题，你就当它是标题吧，不管你取什么名字，必须包含CN＝前缀

-sky　　指定主题的密钥类型，必须是 signature、exchange 或一个表示提供程序类型的整数。默认情况下，可传入 1 表示交换密钥，传入 2 表示签名密钥

-sr　　指定主题的证书存储位置。Location 可以是 currentuser（默认值）或 localmachine（实际是必须是这两个中的一个值)

-ss　　指定主题的证书存储名称，输出证书即存储在那里 

mailSecurity.cer  证书名称，不必与主题一致，不过建议你还是致的好。