通过指定 -pe 开关(使用 Makecert 实用程序),我们使私钥可导出。
a)私钥可导出是什么意思?我们可以将创建的 .pvk 文件(包含私钥)复制到另一个系统并在那里使用它吗?
b)如果是这样,那么我假设 .pvk 仅在要导出私钥时才创建?!因此,当我们不想导出私钥并因此–pe在创建证书时不指定 switch 时,我们如何使用/获取私钥?
谢谢你
问问题
2859 次
1 回答
12
Makecert 将密钥对的私钥存储在本地机器的安全区域中。如果私钥未标记为可导出,则系统将不允许任何人将该私钥导出到可传输的证书文件,该证书文件可以复制或安装在另一台机器上。
这意味着,如果您没有为 MakeCert 指定 -pe 命令行选项,则创建的证书只能用于解密该机器上的数据。公钥可以分发给其他人用于加密数据,但只有这台机器可以使用私钥解密该数据。
这对于最大的安全性是一件好事。机器的用户或网络攻击者不能简单地通过将私钥导出到文件并使用该文件来窃取私钥。
但是,它并不是最方便易用的。如果您打算让多台机器解密使用公钥加密的数据,那么您需要使用可导出选项创建密钥,以便您可以导出公钥/私钥对并将它们安装在要解密数据的其他机器上上。
于 2010-11-23T20:57:13.750 回答