我正在尝试生成与ApplePay一起使用的CSR。我们将在服务器上运行它,并随着时间的推移生成1000个。我宁愿在代码/内存中执行此操作,而不是直接运行openssl命令,因此私钥永远不会出现在HHD上。
我知道这些openssl命令有效。
openssl ecparam -out private.key -name prime256v1 -genkey
openssl req -new -sha256 -key private.key -nodes -out request.csr -subj '/O=Your Name or Company/C=US'
这是我的代码:
// generate the key with a specified curve,
X9ECParameters curve = NistNamedCurves.GetByName("P-256");
ECDomainParameters ecParam = new ECDomainParameters(curve.Curve, curve.G, curve.N, curve.H, curve.GetSeed());
ECKeyPairGenerator keyGen = new ECKeyPairGenerator();
keyGen.Init(new ECKeyGenerationParameters(ecParam, new SecureRandom()));
AsymmetricCipherKeyPair keyPairServer = keyGen.GenerateKeyPair();
var p10builder = new Pkcs10CertificationRequest
(
"SHA256WITHECDSA",
new X509Name("O=NAB Test,C=US"),
keyPairServer.Public,
null,
keyPairServer.Private
);
// build string to send to Apple
string csr = CSR_HEADER + "\r\n" + Convert.ToBase64String(p10builder.GetEncoded()) + "\r\n" + CSR_FOOTER;
Apple的页面接受了证书并给了我响应证书,以便从中提取一些信息。但是当我'激活'这个证书时,我得到'未知错误'。因为我正在使用BC Apple支持拒绝提供帮助。我注意到的一件事是我的CSR数据大约是OpenSSL数据的两倍。
我认为它可能与-nodes有关,但我不确定。
答案 0 :(得分:0)
原来问题是基于曲线如何传递到密钥gen。如果传递密钥参数,则所有数据最终都会出现在证书中。如果您只是使用曲线的OID,它不会传递所有曲线数据,这就是Apple感到不安的。
DerObjectIdentifier ecParam = new DerObjectIdentifier(“1.2.840.10045.3.1.7”);