Можно ли программно сгенерировать сертификат X509, используя только C#?

Question

Можно ли программно сгенерировать сертификат X509, используя только C#?

Мы пытаемся сгенерировать сертификат X509 (включая закрытый ключ) программным способом, используя C# и библиотеку BouncyCastle. Мы попытались использовать часть кода из этого примера Феликса Коллмана, но часть закрытого ключа сертификата возвращает ноль. Код и модульный тест приведены ниже:

using System;
using System.Collections;
using Org.BouncyCastle.Asn1;
using Org.BouncyCastle.Asn1.X509;
using Org.BouncyCastle.Crypto;
using Org.BouncyCastle.Crypto.Generators;
using Org.BouncyCastle.Crypto.Prng;
using Org.BouncyCastle.Math;
using Org.BouncyCastle.Security;
using Org.BouncyCastle.X509;

namespace MyApp
{
    public class CertificateGenerator
    {
        /// <summary>
        /// 
        /// </summary>
        /// <remarks>Based on <see cref="http://www.fkollmann.de/v2/post/Creating-certificates-using-BouncyCastle.aspx"/></remarks>
        /// <param name="subjectName"></param>
        /// <returns></returns>
        public static byte[] GenerateCertificate(string subjectName)
        {
            var kpgen = new RsaKeyPairGenerator();

            kpgen.Init(new KeyGenerationParameters(new SecureRandom(new CryptoApiRandomGenerator()), 1024));

            var kp = kpgen.GenerateKeyPair();

            var gen = new X509V3CertificateGenerator();

            var certName = new X509Name("CN=" + subjectName);
            var serialNo = BigInteger.ProbablePrime(120, new Random());

            gen.SetSerialNumber(serialNo);
            gen.SetSubjectDN(certName);
            gen.SetIssuerDN(certName);
            gen.SetNotAfter(DateTime.Now.AddYears(100));
            gen.SetNotBefore(DateTime.Now.Subtract(new TimeSpan(7, 0, 0, 0)));
            gen.SetSignatureAlgorithm("MD5WithRSA");
            gen.SetPublicKey(kp.Public);

            gen.AddExtension(
                X509Extensions.AuthorityKeyIdentifier.Id,
                false,
                new AuthorityKeyIdentifier(
                    SubjectPublicKeyInfoFactory.CreateSubjectPublicKeyInfo(kp.Public),
                    new GeneralNames(new GeneralName(certName)),
                    serialNo));

            gen.AddExtension(
                X509Extensions.ExtendedKeyUsage.Id,
                false,
                new ExtendedKeyUsage(new ArrayList() { new DerObjectIdentifier("1.3.6.1.5.5.7.3.1") }));

            var newCert = gen.Generate(kp.Private);
            return DotNetUtilities.ToX509Certificate(newCert).Export(System.Security.Cryptography.X509Certificates.X509ContentType.Pkcs12, "password");
        }
    }
}

Модульный тест:

using System.Security.Cryptography;
using System.Security.Cryptography.X509Certificates;
using Microsoft.VisualStudio.TestTools.UnitTesting;

namespace MyApp
{
    [TestClass]
    public class CertificateGeneratorTests
    {
        [TestMethod]
        public void GenerateCertificate_Test_ValidCertificate()
        {
            // Arrange
            string subjectName = "test";

            // Act
            byte[] actual = CertificateGenerator.GenerateCertificate(subjectName);

            // Assert
            var cert = new X509Certificate2(actual, "password");
            Assert.AreEqual("CN=" + subjectName, cert.Subject);
            Assert.IsInstanceOfType(cert.PrivateKey, typeof(RSACryptoServiceProvider));
        }
    }
}

40

c# x509certificate bouncycastle x509 pki

Источник

user12124 22 сен '10 в 14:25

2 ответа

Решение

Я понимаю, что это старый пост, но я нашел эти отличные статьи, которые проходят через этот процесс:

Использование Bouncy Castle из.NET

7

Источник

user236733 20 мар '14 в 13:30

Другие вопросы по тегам c# x509certificate bouncycastle x509 pki

user372643 22 сен '10 в 17:23 2010-09-22 17:23 · Accepted Answer · 2010-09-22 17:23

Просто чтобы уточнить, сертификат X.509 не содержит закрытого ключа. Слово " сертификат" иногда неправильно используется для обозначения комбинации сертификата и закрытого ключа, но они являются двумя различными объектами. Смысл использования сертификатов заключается в том, чтобы отправлять их более или менее открыто, без отправки секретного ключа, который должен храниться в секрете. X509Certificate2 объект может иметь закрытый ключ, связанный с ним (через его PrivateKey свойство), но это только удобство как часть дизайна этого класса.

В вашем первом примере кода BouncyCastle, newCert на самом деле просто сертификат и DotNetUtilities.ToX509Certificate(newCert) построен только из сертификата.

Учитывая, что формат PKCS#12 требует наличия закрытого ключа, я весьма удивлен, что следующая часть даже работает (учитывая, что вы вызываете его на сертификате, который не может знать закрытый ключ):

.Export(System.Security.Cryptography.X509Certificates.X509ContentType.Pkcs12,
    "password");

(gen.Generate(kp.Private) подписывает сертификат, используя закрытый ключ, но не помещает закрытый ключ в сертификат, что не имеет смысла.)

Если вы хотите, чтобы ваш метод возвращал сертификат и закрытый ключ, вы можете:

Вернуть X509Certificate2 объект, в котором вы инициализировали PrivateKey имущество
Создайте магазин PKCS#12 и верните его byte[] содержание (как если бы это был файл). Шаг 3 в отправленной вами ссылке ( зеркало) объясняет, как создать хранилище PKCS#12.

Возвращение byte[] (DER) структура самого сертификата X.509 не будет содержать закрытый ключ.

Если ваша основная задача (в соответствии с вашим тестовым примером) - проверить, что сертификат был создан из пары ключей RSA, вы можете проверить тип его открытого ключа.