是否有可能从C#中的根CA生成SSL证书?

问题描述 投票:0回答:2

我正在我自己的根CA下设置一个服务器,以便在.NET Core下动态生成SSL证书。

我可以使用CertificateRequest类生成自签名证书。但是,具有我自己的根CA的客户端显然不信任这些证书。我正在使用CertificateRequest.CreateSelfSigned()方法来做到这一点。但是,我不能使用我的根CA来签署这些新证书。使用CertificateRequest.Create()方法将生成我的新证书,但它不会提供私钥。

public static X509Certificate2 CreateSelfSignedCertificate(string domain)
{
    SubjectAlternativeNameBuilder sanBuilder = new SubjectAlternativeNameBuilder();
    sanBuilder.AddDnsName(domain);

    X500DistinguishedName distinguishedName = new X500DistinguishedName($"CN=On-The-Fly Generated Cert");

    using (RSA rsa = RSA.Create(2048))
    {
        var request = new CertificateRequest(distinguishedName, rsa, HashAlgorithmName.SHA256, RSASignaturePadding.Pkcs1);

        request.CertificateExtensions.Add(
            new X509KeyUsageExtension(X509KeyUsageFlags.DataEncipherment | X509KeyUsageFlags.KeyEncipherment | X509KeyUsageFlags.DigitalSignature, false));


        request.CertificateExtensions.Add(
            new X509EnhancedKeyUsageExtension(
                new OidCollection { new Oid("1.3.6.1.5.5.7.3.1") }, false));

        request.CertificateExtensions.Add(sanBuilder.Build());

        var ca = new X509Certificate2(File.ReadAllBytes(@"E:\testing_ca_certificate.pfx"), "password"); //Open my root CA cert, generated in OpenSSL

        //Generates a cert, but does not provide a private key.
        var certificate = request.Create(ca, new DateTimeOffset(DateTime.UtcNow.AddDays(-1)), new DateTimeOffset(DateTime.UtcNow.AddDays(365)), new byte[] { 0, 1, 2, 3 }); 

        //Generates a usable cert, but is not under my root CA
        //var certificate = request.CreateSelfSigned(new DateTimeOffset(DateTime.UtcNow.AddDays(-1)), new DateTimeOffset(DateTime.UtcNow.AddDays(365)));

        return new X509Certificate2(certificate.Export(X509ContentType.Pfx, "password"), "password", X509KeyStorageFlags.DefaultKeySet);
    }

}

使用CertificateRequest.Create()方法,我得到一个没有私钥的有效证书。我应该有这个私钥,所以我可以加密SSL流量。

c# ssl asp.net-core
2个回答
0
投票

鉴于证书请求是使用rsa实例创建的,您应该能够从中导出私钥。 RSA.ToXmlString()允许将密钥导出为稍后可以使用RSA.FromXmlString()导入的格式。

0
投票

使用CertificateRequest.Create()方法,我得到一个没有私钥的有效证书。

真实证书颁发机构不应该同时在同一个地方创建CA的私钥和与证书匹配的私钥。除了目前无法解码认证请求(CSR)的事实之外,此方法假定它与提供给CertificateRequest构造函数的公共密钥一起使用。

在流程之后,“预期”模型是:

  • 客户确定需要新证书
  • 客户端生成公钥/私钥对
  • 客户端向CA发送公钥和其他必要信息(PKCS#10 CertificationRequest或其他方式)
  • CA验证请求
  • CA使用客户端公钥构建CertificateRequest对象
  • CA使用qazxsw poi生成证书
  • CA将证书发送回客户端(CertificateRequest.Create()
  • 客户端实例化cert.RawData实例(只有公钥)
  • 客户端使用X509Certificate2(扩展)方法将私钥与新证书对象相关联。
  • 客户做任何客户现在想要的。

所以,之后

CopyWithPrivateKey

你应该补充一下

//Generates a cert, but does not provide a private key.
var certificate = request.Create(ca, new DateTimeOffset(DateTime.UtcNow.AddDays(-1)), new DateTimeOffset(DateTime.UtcNow.AddDays(365)), new byte[] { 0, 1, 2, 3 });

(虽然,实际上,您应该在certificate = certificate.CopyWithPrivateKey(rsa); 语句中使用您的证书对象,以便在不再需要时处理它们,在这种情况下,您需要第二个变量来保存cert-with-key)

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.