使用微软提供的Makecert.exe测试证书生成工具可以很好的帮助我们得到一个SSL标准证书，具体方法如下：下载Makecert.exe或者 定位到你的计算机目录：C:\Program Files\Microsoft SDKs\Windows\v6.0A\bin下，找找就看见了，我强烈建议你copy Makecert.exe到一个单独的目录中，如copy到D:\\cers。

　　现在点击开始菜单-运行-输入cmd，运行控制台应用程序，定位到D:\\cers，在控制台输入：

makecert -r  -pe  -$  individual -n “CN=mailSecurity” -sky exchange -sr currentuser -ss my mailSecurity.cer，即可在当前用户证书存储区下的个人区中生成一个名为mailSecurityr的x509证书，并在当前目录输出了证书文件mailSecurity.cer，以下简单介绍一下各种参数意义

makecert 证书工具名

-r　　表示即将生成的证书是自我签署的，自己给自己发奖(这里主要是指颁发机构）

-pe　　表示将所生成的私钥标记为可导出。这样可将私钥包括在证书中

 -$　　证书是个人用还是商用(individual/commercial）老美就是搞啊，这玩意用美元符号还真是形象得很。

 -n　　表示证书主题，你就当它是标题吧，不管你取什么名字，必须包含CN＝前缀

-sky　　指定主题的密钥类型，必须是 signature、exchange 或一个表示提供程序类型的整数。默认情况下，可传入 1 表示交换密钥，传入 2 表示签名密钥

-sr　　指定主题的证书存储位置。Location 可以是 currentuser（默认值）或 localmachine（实际是必须是这两个中的一个值)

-ss　　指定主题的证书存储名称，输出证书即存储在那里

 mailSecurity.cer  证书名称，不必与主题一致，不过建议你还是一致的好。

我做过。但是非CA机构颁发的，实际中不能用。你可以用activex控件模拟做一个，不安装这个控件的不能实现访问或者支付等，这样就可以解决一些客户的需求问题。

使用XCA吧，操作很方便。