wcf - 标记为不可导出的证书

Question

我正在尝试为自己制作一个开发证书链，以便对 WCF 进行一些测试。我正在关注 msdn 上的说明:How to: Create Temporary Certificates for Use During Development

不幸的是，这些说明不起作用。私钥不可导出。我什至用 makecert.exe 的“-pe”选项重新尝试了它，但它仍然不起作用。我在以管理员身份运行时尝试过它，但它不起作用。在 mmc 本身中，当使用“导出”时，它询问私钥的第一个屏幕将“是/否”选项变灰，并且在其下方显示一条消息:“关联的私钥被标记为不可导出。只有证书可以导出。”

有什么建议吗？可能是 MSDN 的更新程序，或者完全是另一个程序？我正在寻找的只是与 WCF 一起使用的证书以进行一些基本测试。这是在 Windows 8 Pro 上，但我怀疑这很重要。

Answer 1

看到这个 SO answer .几个月前我将它用于 WCF 项目。

创建证书颁发机构

创建自签名证书 (-r)，使用可导出的私钥 (-pe)，使用 SHA1 (-r) 进行签名(-sky 签名)。
私钥被写入文件 (-sv)。

makecert -r -pe -n "CN=My Root Authority" -ss CA -sr CurrentUser ^
         -a sha1 -sky signature -cy authority -sv CA.pvk CA.cer

(^= 允许批处理命令行换行)

创建服务器证书

创建带有可导出私钥 (-pe) 的服务器证书，使用 SHA1 (-a) 进行 key 交换 (-sky 交换)。
它可以用作 SSL 服务器证书 (-eku 1.3.6.1.5.5.7.3.1)。
颁发证书在文件 (-ic) 中， key (-iv) 也在文件中。
使用特定的加密提供程序(-sp、-sy)。

makecert -pe -n "CN=fqdn.of.server" -a sha1 -sky Exchange ^
         -eku 1.3.6.1.5.5.7.3.1 -ic CA.cer -iv CA.pvk ^
         -sp "Microsoft RSA SChannel Cryptographic Provider" ^
         -sy 12 -sv server.pvk server.cer

pvk2pfx -pvk server.pvk -spc server.cer -pfx server.pfx

然后在服务器应用程序中使用 .PFX 文件(或在 IIS 中安装它)。请注意，默认情况下， pvk2pfx不对输出 PFX 文件应用密码 .您需要使用 -po为此切换。

要让所有客户端机器都信任它，请安装 CA.cer 在他们的证书存储中(在受信任的根授权存储中)。如果您在域中，则可以使用 Windows 组策略在全局范围内执行此操作。如果没有，您可以使用 certmgr.msc MMC 管理单元，或 certutil 命令行实用程序:

certutil -user -addstore Root CA.cer