【发布时间】:2011-05-14 17:17:48
【问题描述】:
通过指定 -pe 开关(使用 Makecert 实用程序)我们将其设为私有 密钥可导出。
a) 私钥可导出是什么意思?我们可以将创建的 .pvk 文件(包含私钥)复制到另一个系统并在那里使用它吗?
b) 如果是这样,那么我假设 .pvk 仅在要导出私钥时创建?!那么,当我们不想导出私钥并因此在创建证书时不指定–pe开关时,我们如何使用/获取私钥?
谢谢
【问题讨论】:
标签: .net certificate pki
【发布时间】:2011-05-14 17:17:48
【问题描述】:
Makecert 将密钥对的私钥存储在本地计算机的安全区域中。如果私钥未标记为可导出,则系统将不允许任何人将该私钥导出到可传输的证书文件,该证书文件可以复制或安装在另一台机器上。
这意味着,如果您没有为 MakeCert 指定 -pe 命令行选项,则创建的证书只能用于解密该机器上的数据。公钥可以分发给其他人用于加密数据,但只有这台机器可以使用私钥解密该数据。
这对于最大程度的安全性来说是件好事。机器的用户或网络攻击者不能简单地通过将私钥导出到文件并使用该文件来窃取私钥。
但是,它不是最方便易用的。如果您打算让多台机器解密使用公钥加密的数据,那么您需要使用可导出选项创建密钥,以便您可以导出公钥/私钥对并将它们安装在要解密数据的其他机器上开。
【讨论】: