通过指定-pe开关(使用 Makecert实用程序)我们私有化 密钥可出口。
a)私钥是否可导出是什么意思?我们可以将创建的.pvk文件(包含私钥)复制到另一个系统并在那里使用它?
b)如果是这样,那么我假设.pvk仅在要导出私钥时才会创建?!因此,当我们不想导出私钥时如何使用/获取私钥,因此在创建证书时不指定–pe切换?
谢谢
答案 0 :(得分:12)
Makecert将密钥对的私钥存储在本地计算机的安全区域中。如果私钥未标记为可导出,则系统将不允许任何人将该私钥导出到可以在另一台计算机上复制或安装的可传输证书文件。
这意味着,如果未指定MakeCert的-pe命令行选项,则创建的证书只能用于解密该计算机上的数据。公钥可以分发给其他人用来加密数据,但只有这台机器可以使用私钥解密该数据。
这对于最大限度的安全性是一件好事。机器用户或网络攻击者只能通过将私钥导出到文件并随文件运行来窃取私钥。
但是,它不是最方便易用的。如果您打算让多台计算机解密使用公钥加密的数据,则需要使用exportable选项创建密钥,以便您可以导出公钥/私钥对并将其安装在要解密数据的其他计算机上上。