Existem duas maneiras de fazer isso: através da interface MMC ou através da linha de comando. A interface MMC é mais fácil. Você clica com o botão direito do mouse no novo certificado, selecione “Todas as tarefas | Exportar” e segue os avisos para exportar, incluindo a chave privada. No entanto, os comandos do PowerShell são mais flexíveis, então os detalharemos aqui.
Usamos os seguintes comandos do PowerShell na mesma sessão.
(String)$rootCertPath = Be part of-Path -Path 'cert:CurrentUserMy' -ChildPath "$($rootCert.Thumbprint)"
Isso leva o caminho para o certificado na loja, por meio do $rootCert variável que armazenamos anteriormente. (É por isso que você deseja emitir todos esses comandos na mesma sessão do shell; portanto, as referências aos certificados gerados podem ser reutilizados.)
Em seguida, usaremos esse certificado para gerar dois arquivos, chamados Fakeca.pfx e fakeca.crt, no seu diretório de trabalho atual. Fakeca.pfx é o chave privada associado ao certificado, sem o qual não podemos usá-lo e que deve ser protegido por senha. Fakeca.crt é o próprio certificado, escrito em um arquivo.
Export-PfxCertificate -Cert $rootCertPath -FilePath 'FakeCA.pfx' -Password ("password" | ConvertTo-SecureString -AsPlainText -Pressure)
Export-Certificates -Cert $rootCertPath -FilePath 'FakeCA.crt'
No código acima, substitua sua própria senha, onde diz "password". Certifique -se de manter as citações.
Etapa 4: Crie um novo certificado assinado pela autoridade raiz falsa
Esta próxima etapa gera um certificado actual assinado pela autoridade raiz falsa que criamos para esta máquina. Novamente, use a mesma sessão do PowerShell para esses comandos também.
$testCert = New-SelfSignedCertificate -CertStoreLocation Cert:LocalMachineMy -DnsName "SignedByFakeCA" -KeyExportPolicy Exportable -KeyLength 2048 -KeyUsage DigitalSignature,KeyEncipherment -Signer $rootCert
Assim como na autoridade raiz falsa, este certificado é mantido na loja de certificados native da máquina.
Também precisamos exportar o certificado e sua chave privada para dois arquivos, como fizemos antes. Certifique -se de usar a mesma senha para a chave privada que você definiu acima.
(String)$testCertPath = Be part of-Path -Path 'cert:LocalMachineMy' -ChildPath "$($testCert.Thumbprint)"
Export-PfxCertificate -Cert $testCertPath -FilePath testcert.pfx -Password ("password" | ConvertTo-SecureString -AsPlainText -Pressure)
Export-Certificates -Cert $testCertPath -FilePath testcert.crt
Mais uma vez, quando terminar, você deve ter dois arquivos, denominados testCert.pfx e testCert.crt, no seu diretório de trabalho atual.
Etapa 5: instale o certificado de autoridade raiz falsa na loja de autoridades radiculares confiáveis
O próximo passo é tornar a autoridade raiz falsa que criamos em uma autoridade totalmente confiável nesta máquina. Quando fizermos isso, todos os certificados assinados por essa autoridade serão tratados como confiáveis (novamente, apenas nesta máquina). Em seguida, podemos assinar qualquer número de certificados com essa autoridade e que todos sejam automaticamente confiáveis no mesmo ambiente.
No entanto, isso vai apenas Trabalhe em uma máquina em que o certificado de autoridade raiz falsa foi configurada para ser confiável. Isso é por design. Certificados autoassinados devem funcionar apenas em ambientes onde os designamos como confiáveis.
Para confiar na autoridade raiz falsa, volte para o snap-in do gerente de certificação. No painel da direita, expanda “Autoridades de certificação de raiz confiáveis | Certificados”, clique com o botão direito do mouse em certificados e selecione “Todas as tarefas | importar”.