Невозможно экспортировать сгенерированный сертификат с закрытым ключом в байтовый массив в.net 4.0/4.5

Question

Невозможно экспортировать сгенерированный сертификат с закрытым ключом в байтовый массив в.net 4.0/4.5

Мне нужно экспортировать и импортировать сгенерированные сертификаты с закрытыми ключами в и из байтовых массивов, и у меня нет проблем, если я не использую.NET Framework 4.0 и 4.5. Я создаю самозаверяющие сертификаты с помощью библиотеки BouncyCastle, а затем преобразую их в формат.net (объект X509Certificate2). К сожалению, с обновлением до новейшего фреймворка я не могу экспортировать закрытые ключи. Вот код:

using System;
using System.Diagnostics;
using System.Security.Cryptography;
using System.Security.Cryptography.X509Certificates;
using Org.BouncyCastle.Asn1.X509;
using Org.BouncyCastle.Crypto;
using Org.BouncyCastle.Crypto.Generators;
using Org.BouncyCastle.Crypto.Parameters;
using Org.BouncyCastle.Crypto.Prng;
using Org.BouncyCastle.Math;
using Org.BouncyCastle.Security;
using Org.BouncyCastle.X509;

namespace X509CertificateExport
{
    class Program
    {
        static void Main(string[] args)
        {
            var certificate = Generate();
            var exported = certificate.Export(X509ContentType.Pfx);
            var imported = new X509Certificate2(exported, (string)null, X509KeyStorageFlags.Exportable | X509KeyStorageFlags.PersistKeySet);

            Console.WriteLine("Certificate has private key: " + imported.HasPrivateKey);
            Console.ReadKey();
        }

        public static X509Certificate2 Generate()
        {
            var keyPairGenerator = new RsaKeyPairGenerator();
            var secureRandom = new SecureRandom(new CryptoApiRandomGenerator());
            keyPairGenerator.Init(new KeyGenerationParameters(secureRandom, 1024));
            var keyPair = keyPairGenerator.GenerateKeyPair();
            var publicKey = keyPair.Public;
            var privateKey = (RsaPrivateCrtKeyParameters)keyPair.Private;

            var generator = new X509V3CertificateGenerator();
            generator.SetSerialNumber(BigInteger.ProbablePrime(120, new Random()));
            generator.SetSubjectDN(new X509Name("CN=Test"));
            generator.SetIssuerDN(new X509Name("CN=Test"));
            generator.SetNotAfter(DateTime.Now + new TimeSpan(10, 10, 10, 10));
            generator.SetNotBefore(DateTime.Now.Subtract(new TimeSpan(7, 0, 0, 0)));
            generator.SetSignatureAlgorithm("MD5WithRSA");
            generator.SetPublicKey(publicKey);

            var newCert = generator.Generate(privateKey);
            var dotNetPrivateKey = ToDotNetKey(privateKey);
            var dotNetCert = new X509Certificate2(DotNetUtilities.ToX509Certificate(newCert));
            dotNetCert.PrivateKey = dotNetPrivateKey;

            return dotNetCert;
        }

        public static AsymmetricAlgorithm ToDotNetKey(RsaPrivateCrtKeyParameters privateKey)
        {
            var rsaProvider = new RSACryptoServiceProvider();
            var parameters = new RSAParameters
            {
                Modulus = privateKey.Modulus.ToByteArrayUnsigned(),
                P = privateKey.P.ToByteArrayUnsigned(),
                Q = privateKey.Q.ToByteArrayUnsigned(),
                DP = privateKey.DP.ToByteArrayUnsigned(),
                DQ = privateKey.DQ.ToByteArrayUnsigned(),
                InverseQ = privateKey.QInv.ToByteArrayUnsigned(),
                D = privateKey.Exponent.ToByteArrayUnsigned(),
                Exponent = privateKey.PublicExponent.ToByteArrayUnsigned()
            };

            rsaProvider.ImportParameters(parameters);
            return rsaProvider;
        }
    }
}

После более внимательного изучения сгенерированного сертификата я заметил, что флаг PrivateKey.CspKeyContainerInfo.Exportable имеет значение true для.NET Framework 3.5, но для более поздних версий он выдает:

'Exportable' threw an exception of type 
'System.Security.Cryptography.CryptographicException' / Key does not exist

Единственное отличие, которое я вижу, заключается в PrivateKey.CspKeyContainerInfo.m_parameters.Flags: .NET 3.5 - "NoFlags"; .NET 4.5 - "CreateEphemeralKey". Документация утверждает, что CreateEphemeralKey создает временный ключ, который освобождается, когда связанный объект RSA закрыт. Он был представлен в рамках 4.0 и ранее не существовал. Я попытался избавиться от этого флага, явно создав CspParameters:

public static AsymmetricAlgorithm ToDotNetKey(RsaPrivateCrtKeyParameters privateKey)
{
    var cspParams = new CspParameters
    {
        Flags = CspProviderFlags.UseMachineKeyStore
    };

    var rsaProvider = new RSACryptoServiceProvider(cspParams);
    // ...

но без удачи. "CreateEphemeralKey" добавляется в любом случае, поэтому я получаю в результате UseMachineKeyStore | CreateEphemeralKey флаги и я не вижу, как я могу это удалить. Можно ли как-нибудь игнорировать этот флаг и экспортировать сертификат с закрытым ключом в обычном режиме?

10

c# certificate export bouncycastle

Источник

user479248 07 май '13 в 13:08

1 ответ

Решение

Другие вопросы по тегам c# certificate export bouncycastle

user479248 07 май '13 в 13:55 2013-05-07 13:55 · Accepted Answer · 2013-05-07 13:55

Я этого не заметил CspKeyContainerInfo.CspParameters.KeyContainerName пусто после создания ключа в.NET 4.0 и.NET 4.5, но было автоматически сгенерировано в.NET 3.5. Я установил уникальное имя для контейнера, и теперь я могу экспортировать закрытый ключ.

public static AsymmetricAlgorithm ToDotNetKey(RsaPrivateCrtKeyParameters privateKey)
{
    var cspParams = new CspParameters
    {
          KeyContainerName = Guid.NewGuid().ToString(),
          KeyNumber = (int)KeyNumber.Exchange,
          Flags = CspProviderFlags.UseMachineKeyStore
    };

    var rsaProvider = new RSACryptoServiceProvider(cspParams);
    // ...