是否可以仅使用C#以编程方式生成X509证书?

时间:2010-09-22 14:25:39

标签: c# x509certificate bouncycastle pki x509

我们正在尝试使用C#和BouncyCastle库以编程方式生成X509证书(包括私钥)。我们尝试使用this sample by Felix Kollmann中的一些代码,但证书的私钥部分返回null。代码和单元测试如下:

using System;
using System.Collections;
using Org.BouncyCastle.Asn1;
using Org.BouncyCastle.Asn1.X509;
using Org.BouncyCastle.Crypto;
using Org.BouncyCastle.Crypto.Generators;
using Org.BouncyCastle.Crypto.Prng;
using Org.BouncyCastle.Math;
using Org.BouncyCastle.Security;
using Org.BouncyCastle.X509;

namespace MyApp
{
    public class CertificateGenerator
    {
        /// <summary>
        /// 
        /// </summary>
        /// <remarks>Based on <see cref="http://www.fkollmann.de/v2/post/Creating-certificates-using-BouncyCastle.aspx"/></remarks>
        /// <param name="subjectName"></param>
        /// <returns></returns>
        public static byte[] GenerateCertificate(string subjectName)
        {
            var kpgen = new RsaKeyPairGenerator();

            kpgen.Init(new KeyGenerationParameters(new SecureRandom(new CryptoApiRandomGenerator()), 1024));

            var kp = kpgen.GenerateKeyPair();

            var gen = new X509V3CertificateGenerator();

            var certName = new X509Name("CN=" + subjectName);
            var serialNo = BigInteger.ProbablePrime(120, new Random());

            gen.SetSerialNumber(serialNo);
            gen.SetSubjectDN(certName);
            gen.SetIssuerDN(certName);
            gen.SetNotAfter(DateTime.Now.AddYears(100));
            gen.SetNotBefore(DateTime.Now.Subtract(new TimeSpan(7, 0, 0, 0)));
            gen.SetSignatureAlgorithm("MD5WithRSA");
            gen.SetPublicKey(kp.Public);

            gen.AddExtension(
                X509Extensions.AuthorityKeyIdentifier.Id,
                false,
                new AuthorityKeyIdentifier(
                    SubjectPublicKeyInfoFactory.CreateSubjectPublicKeyInfo(kp.Public),
                    new GeneralNames(new GeneralName(certName)),
                    serialNo));

            gen.AddExtension(
                X509Extensions.ExtendedKeyUsage.Id,
                false,
                new ExtendedKeyUsage(new ArrayList() { new DerObjectIdentifier("1.3.6.1.5.5.7.3.1") }));

            var newCert = gen.Generate(kp.Private);
            return DotNetUtilities.ToX509Certificate(newCert).Export(System.Security.Cryptography.X509Certificates.X509ContentType.Pkcs12, "password");
        }
    }
}

单元测试:

using System.Security.Cryptography;
using System.Security.Cryptography.X509Certificates;
using Microsoft.VisualStudio.TestTools.UnitTesting;

namespace MyApp
{
    [TestClass]
    public class CertificateGeneratorTests
    {
        [TestMethod]
        public void GenerateCertificate_Test_ValidCertificate()
        {
            // Arrange
            string subjectName = "test";

            // Act
            byte[] actual = CertificateGenerator.GenerateCertificate(subjectName);

            // Assert
            var cert = new X509Certificate2(actual, "password");
            Assert.AreEqual("CN=" + subjectName, cert.Subject);
            Assert.IsInstanceOfType(cert.PrivateKey, typeof(RSACryptoServiceProvider));
        }
    }
}

2 个答案:

答案 0 :(得分:30)

为了澄清,X.509证书不包含私钥。单词 certificate 有时被误用来表示证书和私钥的组合,但它们是两个不同的实体。使用证书的重点是或多或少地公开发送它们,而不必发送私钥,私钥必须保密。 X509Certificate2对象可能有一个与之关联的私钥(通过其PrivateKey属性),但这只是该类设计的一部分。

在您的第一个BouncyCastle代码示例中,newCert实际上只是证书,而DotNetUtilities.ToX509Certificate(newCert)仅来自证书。

考虑到PKCS#12格式需要私钥的存在,我很惊讶以下部分甚至可以工作(考虑到你在一个不可能知道私钥的证书上调用它): 

.Export(System.Security.Cryptography.X509Certificates.X509ContentType.Pkcs12,
    "password");

gen.Generate(kp.Private)使用私钥对证书进行签名,但不会将私钥放入证书中,这是没有意义的。)

如果您希望您的方法同时返回证书和私钥,则可以:

  • 返回您已初始化X509Certificate2属性
    • PrivateKey对象
  • 构建PKCS#12商店并返回其byte[]内容(就像它是一个文件一样)。 Step 3 in the link you've sentmirror)解释了如何构建PKCS#12商店。

返回X.509证书本身的byte[](DER)结构将不包含私钥。

如果您的主要问题(根据您的测试用例)要检查证书是否是从RSA密钥对构建的,则可以检查其公钥的类型。

答案 1 :(得分:7)

我意识到这是一篇很老的帖子,但我发现这些优秀的文章经历了这个过程:

Using Bouncy Castle from .NET

相关问题
最新问题