Question

我正在尝试使用最初导入到Windows 10计算机上的CurrentUser密钥库中的X509证书，该证书使用MMC的“证书”管理单元。已在Windows 8.1计算机上测试了相同的过程，结果相同。

使用标准PowerShell PKI模块，我使用Get-Item获取X509Certificate2对象：

$my_cert = Get-Item Cert:\CurrentUser\My\ADAA82188A17THUMBPRINTXXXXXXXXXXX

$my_cert | fl *的输出如下：

PSPath                   : Microsoft.PowerShell.Security\Certificate::CurrentUser\My\XXXXXXXXXXXXXXXXXXX
PSParentPath             : Microsoft.PowerShell.Security\Certificate::CurrentUser\My
PSChildName              : XXXXXXXXXXXXXXXXXXX
PSDrive                  : Cert
PSProvider               : Microsoft.PowerShell.Security\Certificate
PSIsContainer            : False
EnhancedKeyUsageList     : {Secure Email (1.3.6.1.5.5.7.3.4), IP security user (1.3.6.1.5.5.7.3.7), Encrypting File
                           System (1.3.6.1.4.1.311.10.3.4), Document Signing (1.3.6.1.4.1.311.10.3.12)...}
DnsNameList              : {My Name}
SendAsTrustedIssuer      : False
EnrollmentPolicyEndPoint : Microsoft.CertificateServices.Commands.EnrollmentEndPointProperty
EnrollmentServerEndPoint : Microsoft.CertificateServices.Commands.EnrollmentEndPointProperty
PolicyId                 : {D52C406F-C279-4BF2-B7C2-EE704290DB3E}
Archived                 : False
Extensions               : {System.Security.Cryptography.Oid, System.Security.Cryptography.Oid,
                           System.Security.Cryptography.Oid, System.Security.Cryptography.Oid...}
FriendlyName             :
IssuerName               : System.Security.Cryptography.X509Certificates.X500DistinguishedName
NotAfter                 : 4/15/2017 2:15:16 PM
NotBefore                : 4/15/2016 2:15:16 PM
HasPrivateKey            : True
PrivateKey               :
PublicKey                : System.Security.Cryptography.X509Certificates.PublicKey
RawData                  : {56, 130, 19, 252...}
SerialNumber             : 4F0000002F700000000000000000000000
SubjectName              : System.Security.Cryptography.X509Certificates.X500DistinguishedName
SignatureAlgorithm       : System.Security.Cryptography.Oid
Thumbprint               : XXXXXXXXXXXXXXXXXXX
Version                  : 3
Handle                   : 2241663016272
Issuer                   : CN=Issuing CA, DC=My, DC=Domain, DC=us
Subject                  : E=my.name@my.domain.us, CN=My Name

所以HasPrivateKey == True，但PrivateKey == null。我一直在试图弄清楚如何访问私钥来执行加密和解密。我在网上看到的例子似乎都表明X509Certificate2类的PrivateKey属性应该随时可用，但显然我错过了一些东西。

我在这里阅读了类似的问题，例如Empty PrivateKey in x509certificate2，但似乎没有解决我的问题。我还读过Paul Stovell的Eight tips for working with X.509 certificates in .NET，这非常具有启发性，但最终没有帮助。它确实帮助我验证私钥是否存在于正确的位置，据我所知，x509Certificate2类引用了正确的权限：

C:\Users\My.Name\AppData\Roaming\Microsoft\SystemCertificates\My\Keys

密钥文件的名称与证书上的主题密钥标识符匹配。

修改

certutil -user -store my "Serial Number"的输出是：

Serial Number: 4f000000xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Issuer: CN=Issuing CA, DC=My, DC=Domain, DC=us
 NotBefore: 4/15/2016 2:15 PM
 NotAfter: 4/15/2017 2:15 PM
Subject: E=my.name@my.domain.us, CN=My Name
Non-root Certificate
Template: Userv1, User v1
Cert Hash(sha1): ad ab 82 18 8a 17 4d 75 11 04 48 7c 43 43 d4 05 b9 74 c8 4c
  Key Container = te-Userv1-xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
  Unique container name: fcbba1aa0xxxxxxxxxxxxxxxxxxxxxxx_xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
  Provider = Microsoft Software Key Storage Provider
Encryption test passed
CertUtil: -store command completed successfully.

我在这里遗失了哪些“关键”信息？为什么不通过X509Certificate2对象方便地引用私钥？我如何获得访问权限？

Answer 1

这可能表示以下之一：

1）私钥存储在密钥存储提供程序（而不是传统的加密服务提供程序）中，.NET提供的支持很少，而且PrivateKey类的X509Certificate2属性根本不支持。您可以通过运行以下命令来检查：

certutil -user -store my "<CertSerialNumber>"

2）私钥丢失。

HasPrivateKey属性不需要反映实际情况，对于不存在的密钥可能True或现有密钥可能False。运行上面的certutil命令以确保是否显示密钥。

如果显示私钥但绑定被破坏，您可以尝试通过运行以下命令来恢复绑定：

certutil -user -repairstore my "<CertSerialNumber>"

Answer 2

您的certutil信息显示/，这意味着私钥存储在Windows CNG下，而不是Windows CryptoAPI（CAPI）。

.NET 4.6添加了GetRSAPrivateKey（扩展）方法，以便于更改让PrivateKey属性返回不是RSACryptoServiceProvider（或DSACryptoServiceProvider）的东西。如果您有权访问该方法（我不确定PowerShell使用的是哪种版本的框架），那么它将解决您的问题。

但有两点需要注意：

GetRSAPrivateKey每次都返回一个唯一的Disposable对象。你应该把它放在一个using语句/完成后手动调用Dispose（而不是cert.PrivateKey，这不是唯一的，所以不应该是Disposed）。
sign / verify //加密/解密方法已下移到RSA基类（具有略微不同，更具前瞻性的签名的albiet）。

Answer 3

我解决了这个问题。

由于某种原因，.NET框架无法从文件导入私钥，但是，它可以从内置的Windows应用商店导入，这是因为PrivateKey方法仅支持RSA和DSA密钥{{3 }：阅读“备注”部分下的注释。

无论如何，要获取PrivateKey对象以返回密钥信息，您需要执行以下操作：

1）双击将P12文件导入Windows密钥库。 2）提示“当前用户”时选择“导入” 3）确保选择“Make Key Exportable”，

如果此选项不可用，则您的证书没有私有键

。 4）选择“自动放入商店”

5）编写以下代码以检索您的证书：

Dim CertDataInfo As System.Security.Cryptography.X509Certificates.X509Certificate2 
Dim Store As New System.Security.Cryptography.X509Certificates.X509Store("MY", Security.Cryptography.X509Certificates.StoreLocation.CurrentUser)

Store.Open(Security.Cryptography.X509Certificates.OpenFlags.ReadOnly)
Console.writeline (Store.Certificates.Count)

For I = 0 To Store.Certificates.Count - 1
 If Store.Certificates.Item(I).FriendlyName = "Heider Sati's Cert(48F57XTHVE)" Then
  CertDataInfo = Store.Certificates.Item(I)
 End If

 Console.writeline ("Cert: " & Store.Certificates.Item(I).FriendlyName)

Next
Store.Close()

If CertDataInfo.PrivateKey Is Nothing Then
 MsgBox("NULL")
Else
 MsgBox("YES")
End If

6）运行代码，如果你得到YES，那么私钥不是NULL（或NOTHING），这就是你要找的东西。

如果你直接从文件加载相同的证书，私钥将永远是NOTHING / NULL，但HasPrivateKey会说YES，这意味着（我知道有一个密钥，但是，我不知道如何理解它。当你将它导入Windows商店时，Windows会将其转换为.NET兼容格式。

我希望这会有所帮助。

.NET Framework x509Certificate2类，HasPrivateKey == true＆amp;＆amp; PrivateKey == null？

3 个答案: