Erstellen von Testzertifikaten
Für die Testsignatur ist ein Testzertifikat erforderlich. Nachdem ein Testzertifikat generiert wurde, kann es verwendet werden, um mehrere Treiber oder Treiberpakete zu testen. Weitere Informationen finden Sie unter Testen von Zertifikaten.
In diesem Thema wird beschrieben, wie Sie das MakeCert-Tool verwenden, um Testzertifikate zu erstellen. In den meisten Entwicklungsumgebungen sollten über MakeCert generierte Testzertifikate ausreichen, um die Installation und das Laden von testsignierten Treibern oder Treiberpaketen zu testen. Weitere Informationen zu diesem Testzertifikattyp finden Sie unter MakeCert-Testzertifikat.
Im folgenden Befehlszeilenbeispiel wird MakeCert verwendet, um die folgenden Aufgaben auszuführen:
Erstellen Sie ein selbstsigniertes Testzertifikat mit dem Namen Contoso.com(Test). Dieses Zertifikat verwendet den gleichen Namen für den Antragstellernamen und die Zertifizierungsstelle (ZS).
Fügen Sie eine Kopie des Zertifikats in eine Ausgabedatei mit dem Namen ContosoTest.cer ein.
Speichern Sie eine Kopie des Zertifikats in einem Zertifikatspeicher mit dem Namen PrivateCertStore. Wenn Sie das Testzertifikat in PrivateCertStore platzieren, wird es von anderen Zertifikaten getrennt, die sich möglicherweise auf dem System befindet.
Verwenden Sie den folgenden MakeCert-Befehl, um das zertifikat Contoso.com(Test) zu erstellen:
makecert -r -pe -ss PrivateCertStore -n CN=Contoso.com(Test) -eku 1.3.6.1.5.5.7.3.3 ContosoTest.cer
Hierbei gilt:
Mit der Option -r wird ein selbstsigniertes Zertifikat mit demselben Aussteller- und Antragstellernamen erstellt.
Die Option -pe gibt an, dass der private Schlüssel, der dem Zertifikat zugeordnet ist, exportiert werden kann.
Die Option -ss gibt den Namen des Zertifikatspeichers an, der das Testzertifikat (PrivateCertStore) enthält.
Die Option -n CN= gibt den Namen des Zertifikats an, Contoso.com(Test). Dieser Name wird mit dem SignTool-Tool verwendet, um das Zertifikat zu identifizieren.
Die EKU-Option fügt eine Liste von mindestens einem durch Trennzeichen getrennten, erweiterten Schlüsselverwendungsobjektbezeichnern (OIDs) in das Zertifikat ein. Fügt beispielsweise
-eku 1.3.6.1.5.5.7.3.2
die Clientauthentifizierungs-OID ein. Definitionen zulässiger OIDs finden Sie in der Datei Wincrypt.h in CryptoAPI 2.0.ContosoTest.cer ist der Dateiname, der eine Kopie des Testzertifikats enthält, Contoso.com(Test). Die Zertifikatdatei wird verwendet, um das Zertifikat dem Zertifikatspeicher der vertrauenswürdigen Stammzertifizierungsstellen und dem Zertifikatspeicher für vertrauenswürdige Herausgeber hinzuzufügen.
Der Zertifikatspeicher, der das Testzertifikat enthält, wird der Liste der Zertifikatspeicher hinzugefügt, die Windows für das Benutzerkonto auf dem Entwicklungscomputer verwaltet, auf dem der Zertifikatspeicher erstellt wurde.
Ein Entwickler muss nur ein MakeCert-Testzertifikat erstellen, um alle Treiberpakete auf einem Entwicklungscomputer zu signieren.
Weitere Informationen zum MakeCert-Tool und seinen Befehlszeilenargumenten finden Sie unter MakeCert.
Hinweis
Nachdem Sie ein Testzertifikat erstellt haben, verwenden Sie das CertMgr-Tool, um es dem Zertifikatspeicher der vertrauenswürdigen Stammzertifizierungsstellen hinzuzufügen. Weitere Informationen finden Sie unter Installieren von Testzertifikaten.
Weitere Informationen finden Sie in der Infodatei Selfsign_readme.htm
im bin\selfsign
Verzeichnis des Windows Driver Kit (WDK).