#.net-core #x509certificate2
#.net-core #x509certificate2
Вопрос:
Я хочу зашифровать токен, используя jwe в соответствии с этой статьей, в статье, которую он создал
X509EncryptingCredentials как удар:
var tokenDescriptor = new SecurityTokenDescriptor
{
Audience = "you",
Issuer = "me",
Subject = new ClaimsIdentity(new List<Claim> {new Claim("sub", "scott")}),
EncryptingCredentials = new X509EncryptingCredentials(new X509Certificate2("key_public.cer")) //here i mean
};
для этого он создал new X509Certificate2("key_public.cer")
как я могу создать key_public.cer для его передачи X509Certificate2 ?
Комментарии:
1. Вы пробовали свою любимую поисковую систему? Вы можете ввести что-то вроде этого «как создать сертификат x509?»
Ответ №1:
DotNetUtilities.ToRSA всегда будет устанавливать для закрытого ключа значение Exportable. Чтобы предотвратить это, существует альтернативный способ преобразовать ваш ключ BouncyCastle в .NET X509Certificate2, взятый отсюда
public X509Certificate2 GenerateSelfSignedCertificateNoCA(string subjectName, string issuerName)
{
const int keyStrength = 2048;
// Generating Random Numbers
CryptoApiRandomGenerator randomGenerator = new CryptoApiRandomGenerator();
SecureRandom random = new SecureRandom(randomGenerator);
// The Certificate Generator
X509V3CertificateGenerator certificateGenerator = new X509V3CertificateGenerator();
// Serial Number
BigInteger serialNumber = BigIntegers.CreateRandomInRange(BigInteger.One, BigInteger.ValueOf(Int64.MaxValue), random);
certificateGenerator.SetSerialNumber(serialNumber);
// Signature Algorithm
const string signatureAlgorithm = "SHA256WithRSA";
certificateGenerator.SetSignatureAlgorithm(signatureAlgorithm);
// Issuer and Subject Name
X509Name subjectDN = new X509Name(subjectName);
X509Name issuerDN = new X509Name(issuerName);
certificateGenerator.SetIssuerDN(issuerDN);
certificateGenerator.SetSubjectDN(subjectDN);
// Valid For
DateTime notBefore = DateTime.UtcNow.Date;
DateTime notAfter = notBefore.AddYears(2);
certificateGenerator.SetNotBefore(notBefore);
certificateGenerator.SetNotAfter(notAfter);
// Subject Public Key
AsymmetricCipherKeyPair subjectKeyPair;
var keyGenerationParameters = new KeyGenerationParameters(random, keyStrength);
var keyPairGenerator = new RsaKeyPairGenerator();
keyPairGenerator.Init(keyGenerationParameters);
subjectKeyPair = keyPairGenerator.GenerateKeyPair();
certificateGenerator.SetPublicKey(subjectKeyPair.Public);
// Generating the Certificate
AsymmetricCipherKeyPair issuerKeyPair = subjectKeyPair;
// selfsign certificate
Org.BouncyCastle.X509.X509Certificate certificate = certificateGenerator.Generate(subjectKeyPair.Private, random);
//import into store
var certificateEntry = new X509CertificateEntry(certificate);
string friendlyName = certificate.SubjectDN.ToString();
var store = new Pkcs12Store();
store.SetCertificateEntry(friendlyName, certificateEntry);
store.SetKeyEntry(friendlyName, new AsymmetricKeyEntry(subjectKeyPair.Private), new[] {certificateEntry});
//save to memorystream
var password = "password";
var stream = new MemoryStream();
store.Save(stream, password.ToCharArray(), random);
// convert into X509Certificate2
X509Certificate2 x509 = new System.Security.Cryptography.X509Certificates.X509Certificate2(stream.ToArray(), password, X509KeyStorageFlags.UserKeySet);
return x509;
}
Закрытый ключ теперь помечен как экспортируемый = false.