“导出私钥”是什么意思？意思是（ Makecert -pe ）？

Question

通过指定 –pe 开关（使用 Makecert 实用程序）我们创建一个私有的 密钥可导出。

a) 私钥可导出是什么意思？我们可以将创建的 .pvk 文件（包含私钥）复制到另一个系统并在那里使用它吗？

b) 如果是这样，那么我假设只有在要导出私钥时才会创建 .pvk？！那么，当我们不想导出私钥并且在创建证书时不指定 –pe 开关时，我们如何使用/获取私钥呢？

谢谢

Answer 1

Makecert 将密钥对的私钥存储在本地计算机的安全区域中。如果私钥未标记为可导出，则系统将不允许任何人将该私钥导出到可在另一台计算机上复制或安装的可传输证书文件。

这意味着，如果您没有为 MakeCert 指定 -pe 命令行选项，则创建的证书只能用于解密该计算机上的数据。公钥可以分发给其他人用来加密数据，但只有本机可以使用私钥解密该数据。

这对于最大程度的安全来说是一件好事。机器的用户或网络攻击者无法仅通过将私钥导出到文件并携带该文件运行来窃取私钥。

然而，它并不是最方便的易用性。如果您打算让多台计算机解密使用公钥加密的数据，则需要使用可导出选项创建密钥，以便您可以导出公钥/私钥对并将其安装在要解密数据的其他计算机上在。