C#のみを使用してX509証明書をプログラム的に生成することは可能ですか?
-
04-10-2019 - |
質問
C#と 弾む城 図書館。からコードの一部を使用してみました Felix Kollmannによるこのサンプル しかし、証明書の秘密のキー部分はnullを返します。コードとユニットテストは以下のとおりです。
using System;
using System.Collections;
using Org.BouncyCastle.Asn1;
using Org.BouncyCastle.Asn1.X509;
using Org.BouncyCastle.Crypto;
using Org.BouncyCastle.Crypto.Generators;
using Org.BouncyCastle.Crypto.Prng;
using Org.BouncyCastle.Math;
using Org.BouncyCastle.Security;
using Org.BouncyCastle.X509;
namespace MyApp
{
public class CertificateGenerator
{
/// <summary>
///
/// </summary>
/// <remarks>Based on <see cref="http://www.fkollmann.de/v2/post/Creating-certificates-using-BouncyCastle.aspx"/></remarks>
/// <param name="subjectName"></param>
/// <returns></returns>
public static byte[] GenerateCertificate(string subjectName)
{
var kpgen = new RsaKeyPairGenerator();
kpgen.Init(new KeyGenerationParameters(new SecureRandom(new CryptoApiRandomGenerator()), 1024));
var kp = kpgen.GenerateKeyPair();
var gen = new X509V3CertificateGenerator();
var certName = new X509Name("CN=" + subjectName);
var serialNo = BigInteger.ProbablePrime(120, new Random());
gen.SetSerialNumber(serialNo);
gen.SetSubjectDN(certName);
gen.SetIssuerDN(certName);
gen.SetNotAfter(DateTime.Now.AddYears(100));
gen.SetNotBefore(DateTime.Now.Subtract(new TimeSpan(7, 0, 0, 0)));
gen.SetSignatureAlgorithm("MD5WithRSA");
gen.SetPublicKey(kp.Public);
gen.AddExtension(
X509Extensions.AuthorityKeyIdentifier.Id,
false,
new AuthorityKeyIdentifier(
SubjectPublicKeyInfoFactory.CreateSubjectPublicKeyInfo(kp.Public),
new GeneralNames(new GeneralName(certName)),
serialNo));
gen.AddExtension(
X509Extensions.ExtendedKeyUsage.Id,
false,
new ExtendedKeyUsage(new ArrayList() { new DerObjectIdentifier("1.3.6.1.5.5.7.3.1") }));
var newCert = gen.Generate(kp.Private);
return DotNetUtilities.ToX509Certificate(newCert).Export(System.Security.Cryptography.X509Certificates.X509ContentType.Pkcs12, "password");
}
}
}
単体テスト:
using System.Security.Cryptography;
using System.Security.Cryptography.X509Certificates;
using Microsoft.VisualStudio.TestTools.UnitTesting;
namespace MyApp
{
[TestClass]
public class CertificateGeneratorTests
{
[TestMethod]
public void GenerateCertificate_Test_ValidCertificate()
{
// Arrange
string subjectName = "test";
// Act
byte[] actual = CertificateGenerator.GenerateCertificate(subjectName);
// Assert
var cert = new X509Certificate2(actual, "password");
Assert.AreEqual("CN=" + subjectName, cert.Subject);
Assert.IsInstanceOfType(cert.PrivateKey, typeof(RSACryptoServiceProvider));
}
}
}
解決
明確にするために、X.509証明書には秘密鍵が含まれていません。言葉 証明書 証明書と秘密鍵の組み合わせを表すために誤用されることがありますが、それらは2つの異なるエンティティです。証明書を使用する全体のポイントは、秘密の鍵を送信することなく、それらを多かれ少なかれオープンに送信することです。 an X509Certificate2
オブジェクトには、それに関連する秘密鍵がある場合があります(その介して PrivateKey
プロパティ)、しかし、それはこのクラスの設計の一部としてのみ便利です。
最初のbouncycastleコードの例では、 newCert
本当に証明書です DotNetUtilities.ToX509Certificate(newCert)
証明書のみから構築されています。
PKCS#12形式には秘密鍵の存在が必要であることを考えると、次の部分が機能することも非常に驚いています(秘密鍵を知らない証明書でそれを呼び出していることを考えると):
.Export(System.Security.Cryptography.X509Certificates.X509ContentType.Pkcs12,
"password");
(gen.Generate(kp.Private)
秘密鍵を使用して証明書に署名しますが、証明書に秘密鍵を入れていませんが、意味がありません。)
メソッドに証明書と秘密鍵の両方を返したい場合は、次のことができます。
- 返します
X509Certificate2
初期化したオブジェクトPrivateKey
財産 - PKCS#12ストアを構築し、返品します
byte[]
コンテンツ(ファイルであるかのように)。 ステップ3送信したリンクの (鏡)PKCS#12ストアの構築方法を説明します。
戻る byte[]
(der)x.509証明書自体の構造には、秘密鍵は含まれません。
(テストケースによると)主な懸念が、証明書がRSAキーペアから構築されたことを確認することである場合、代わりにその公開キーのタイプを確認できます。
他のヒント
これは古い投稿であることに気付きましたが、プロセスを通過するこれらの優れた記事を見つけました。