Можно ли программно генерировать сертификат X509, используя только C #?
-
04-10-2019 - |
Вопрос
Мы пытаемся создать сертификат X509 (включая закрытый ключ) программно, используя C # и Bouncycastle. библиотека. Мы пытались использовать некоторые из кода из Этот образец Феликс КОЛЛМАНН Но частная ключевая часть сертификата возвращает NULL. Тест кода и единицы ниже:
using System;
using System.Collections;
using Org.BouncyCastle.Asn1;
using Org.BouncyCastle.Asn1.X509;
using Org.BouncyCastle.Crypto;
using Org.BouncyCastle.Crypto.Generators;
using Org.BouncyCastle.Crypto.Prng;
using Org.BouncyCastle.Math;
using Org.BouncyCastle.Security;
using Org.BouncyCastle.X509;
namespace MyApp
{
public class CertificateGenerator
{
/// <summary>
///
/// </summary>
/// <remarks>Based on <see cref="http://www.fkollmann.de/v2/post/Creating-certificates-using-BouncyCastle.aspx"/></remarks>
/// <param name="subjectName"></param>
/// <returns></returns>
public static byte[] GenerateCertificate(string subjectName)
{
var kpgen = new RsaKeyPairGenerator();
kpgen.Init(new KeyGenerationParameters(new SecureRandom(new CryptoApiRandomGenerator()), 1024));
var kp = kpgen.GenerateKeyPair();
var gen = new X509V3CertificateGenerator();
var certName = new X509Name("CN=" + subjectName);
var serialNo = BigInteger.ProbablePrime(120, new Random());
gen.SetSerialNumber(serialNo);
gen.SetSubjectDN(certName);
gen.SetIssuerDN(certName);
gen.SetNotAfter(DateTime.Now.AddYears(100));
gen.SetNotBefore(DateTime.Now.Subtract(new TimeSpan(7, 0, 0, 0)));
gen.SetSignatureAlgorithm("MD5WithRSA");
gen.SetPublicKey(kp.Public);
gen.AddExtension(
X509Extensions.AuthorityKeyIdentifier.Id,
false,
new AuthorityKeyIdentifier(
SubjectPublicKeyInfoFactory.CreateSubjectPublicKeyInfo(kp.Public),
new GeneralNames(new GeneralName(certName)),
serialNo));
gen.AddExtension(
X509Extensions.ExtendedKeyUsage.Id,
false,
new ExtendedKeyUsage(new ArrayList() { new DerObjectIdentifier("1.3.6.1.5.5.7.3.1") }));
var newCert = gen.Generate(kp.Private);
return DotNetUtilities.ToX509Certificate(newCert).Export(System.Security.Cryptography.X509Certificates.X509ContentType.Pkcs12, "password");
}
}
}
Модульный тест:
using System.Security.Cryptography;
using System.Security.Cryptography.X509Certificates;
using Microsoft.VisualStudio.TestTools.UnitTesting;
namespace MyApp
{
[TestClass]
public class CertificateGeneratorTests
{
[TestMethod]
public void GenerateCertificate_Test_ValidCertificate()
{
// Arrange
string subjectName = "test";
// Act
byte[] actual = CertificateGenerator.GenerateCertificate(subjectName);
// Assert
var cert = new X509Certificate2(actual, "password");
Assert.AreEqual("CN=" + subjectName, cert.Subject);
Assert.IsInstanceOfType(cert.PrivateKey, typeof(RSACryptoServiceProvider));
}
}
}
Решение
Просто чтобы уточнить, сертификат X.509 не содержит закрытый ключ. Слово сертификат Иногда иногда используется для представления комбинации сертификата и закрытого ключа, но они являются двумя различными объектами. Весь смысл использования сертификатов - отправить их более или менее открыто, не отправляя закрытый ключ, который должен храниться в секрете. Ан X509Certificate2
объект может иметь закрытый ключ, связанный с ним (через его PrivateKey
Собственность), но это только удобство как часть дизайна этого класса.
В вашем примере первого кода BouncycaCtle, newCert
действительно просто сертификат и DotNetUtilities.ToX509Certificate(newCert)
построен только из сертификата.
Учитывая, что формат PKCS # 12 требует наличия закрытого ключа, я вполне удивлен, что следующая часть даже работает (учитывая, что вы называете его на сертификате, который не может знать закрытый ключ):
.Export(System.Security.Cryptography.X509Certificates.X509ContentType.Pkcs12,
"password");
(gen.Generate(kp.Private)
Подписывает сертификат, используя закрытый ключ, но не помещает закрытый ключ в сертификате, который не имеет смысла.)
Если вы хотите, чтобы ваш метод вернуть как сертификат, так и закрытый ключ, который вы можете:
- Вернуть А.Н.
X509Certificate2
объект, в котором вы инициализировалиPrivateKey
имущество - Построить PKCS # 12 Store и возвращает его
byte[]
Содержание (как будто это был файл). Шаг 3 в ссылке, которую вы отправили (зеркало) объясняет, как построить магазин PKCS # 12.
Возвращая byte[]
(Der) Структура для самого сертификата X.509 не будет содержать закрытый ключ.
Если ваша главная забота (в соответствии с вашим тестом) заключается в том, чтобы убедиться, что сертификат был создан из пары ключ RSA, вместо этого вы можете проверить тип своего открытого ключа.
Другие советы
Я понимаю, что это старый пост, но я нашел эти отличные статьи, которые проходят через процесс: