我正在我自己的根CA下设置一个服务器,以便在.NET Core下动态生成SSL证书。
我可以使用CertificateRequest
类生成自签名证书。但是,具有我自己的根CA的客户端显然不信任这些证书。我正在使用CertificateRequest.CreateSelfSigned()
方法来做到这一点。但是,我不能使用我的根CA来签署这些新证书。使用CertificateRequest.Create()
方法将生成我的新证书,但它不会提供私钥。
public static X509Certificate2 CreateSelfSignedCertificate(string domain)
{
SubjectAlternativeNameBuilder sanBuilder = new SubjectAlternativeNameBuilder();
sanBuilder.AddDnsName(domain);
X500DistinguishedName distinguishedName = new X500DistinguishedName($"CN=On-The-Fly Generated Cert");
using (RSA rsa = RSA.Create(2048))
{
var request = new CertificateRequest(distinguishedName, rsa, HashAlgorithmName.SHA256, RSASignaturePadding.Pkcs1);
request.CertificateExtensions.Add(
new X509KeyUsageExtension(X509KeyUsageFlags.DataEncipherment | X509KeyUsageFlags.KeyEncipherment | X509KeyUsageFlags.DigitalSignature, false));
request.CertificateExtensions.Add(
new X509EnhancedKeyUsageExtension(
new OidCollection { new Oid("1.3.6.1.5.5.7.3.1") }, false));
request.CertificateExtensions.Add(sanBuilder.Build());
var ca = new X509Certificate2(File.ReadAllBytes(@"E:\testing_ca_certificate.pfx"), "password"); //Open my root CA cert, generated in OpenSSL
//Generates a cert, but does not provide a private key.
var certificate = request.Create(ca, new DateTimeOffset(DateTime.UtcNow.AddDays(-1)), new DateTimeOffset(DateTime.UtcNow.AddDays(365)), new byte[] { 0, 1, 2, 3 });
//Generates a usable cert, but is not under my root CA
//var certificate = request.CreateSelfSigned(new DateTimeOffset(DateTime.UtcNow.AddDays(-1)), new DateTimeOffset(DateTime.UtcNow.AddDays(365)));
return new X509Certificate2(certificate.Export(X509ContentType.Pfx, "password"), "password", X509KeyStorageFlags.DefaultKeySet);
}
}
使用CertificateRequest.Create()
方法,我得到一个没有私钥的有效证书。我应该有这个私钥,所以我可以加密SSL流量。
鉴于证书请求是使用rsa
实例创建的,您应该能够从中导出私钥。 RSA.ToXmlString()
允许将密钥导出为稍后可以使用RSA.FromXmlString()
导入的格式。
使用
CertificateRequest.Create()
方法,我得到一个没有私钥的有效证书。
真实证书颁发机构不应该同时在同一个地方创建CA的私钥和与证书匹配的私钥。除了目前无法解码认证请求(CSR)的事实之外,此方法假定它与提供给CertificateRequest构造函数的公共密钥一起使用。
在流程之后,“预期”模型是:
CertificateRequest
对象CertificateRequest.Create()
)cert.RawData
实例(只有公钥)X509Certificate2
(扩展)方法将私钥与新证书对象相关联。所以,之后
CopyWithPrivateKey
你应该补充一下
//Generates a cert, but does not provide a private key.
var certificate = request.Create(ca, new DateTimeOffset(DateTime.UtcNow.AddDays(-1)), new DateTimeOffset(DateTime.UtcNow.AddDays(365)), new byte[] { 0, 1, 2, 3 });
(虽然,实际上,您应该在certificate = certificate.CopyWithPrivateKey(rsa);
语句中使用您的证书对象,以便在不再需要时处理它们,在这种情况下,您需要第二个变量来保存cert-with-key)