#c# #.net-core #cryptography #x509certificate2 #ecdsa
#c# #.net-ядро #криптография #x509certificate2 #ecdsa
Вопрос:
Привет, я хочу сгенерировать цепочку сертификатов с помощью c #. Что-то вроде этого:
Я создаю этот код для генерации:
using System;
using System.Security.Cryptography;
using System.Security.Cryptography.X509Certificates;
namespace CC.CertificateCore
{
public class CertBuilder
{
public static CertResult BuildChain()
{
CertResult result = new CertResult();
using ECDsa rootKey = ECDsa.Create(ECCurve.NamedCurves.brainpoolP256t1);
result.Root = CreateCert(rootKey, "CN=Root CA", "Root");
using ECDsa aKey = result.Root.GetECDsaPublicKey();
result.A = CreateCert(aKey, "CN=Root CA", "A");
using ECDsa bKey = result.A.GetECDsaPublicKey();
result.B = CreateCert(bKey, "CN=A CA", "B", selfSigned: true);
return resu<
}
private static X509Certificate2 CreateCert(ECDsa key, string issuer, string friendlyName, bool selfSigned = false)
{
var distinguishedName = new X500DistinguishedName(issuer);
var request = new CertificateRequest(distinguishedName, key, HashAlgorithmName.MD5);
request.CertificateExtensions.Add(new X509KeyUsageExtension(X509KeyUsageFlags.DigitalSignature, false));
var certificate = selfSigned
? request.CreateSelfSigned(NotBefore(), NotAfter())
: request.Create(distinguishedName, X509SignatureGenerator.CreateForECDsa(key), NotBefore(), NotAfter(), Serial());
certificate.FriendlyName = friendlyName;
return certificate;
}
public static byte[] Serial()
{
byte[] serial = new byte[12];
using (RandomNumberGenerator rng = RandomNumberGenerator.Create())
{
rng.GetBytes(serial);
}
return serial;
}
public static DateTimeOffset NotBefore()
{
return new DateTimeOffset(DateTime.UtcNow.AddDays(-1));
}
public static DateTimeOffset NotAfter()
{
return new DateTimeOffset(DateTime.UtcNow.AddDays(3650));
}
}
public class CertResult
{
public X509Certificate2 Root { get; set; }
public X509Certificate2 A { get; set; }
public X509Certificate2 B { get; set; }
}
}
И я получаю эту ошибку (исключение WindowsCryptographicException: «Ключ не существует».):
Что я делаю не так? Возможна ли вообще эта цепочка?. Цепочка является обязательным требованием, и я реализую проверку концепции, чтобы проверить, можно ли это сделать. Проект представляет собой консольный проект netcore 3.1
Заранее спасибо,
С уважением
Комментарии:
1. Вместо этого вам следует использовать программное обеспечение центра сертификации. Не пытайтесь создавать свой собственный код CA. Как PoC это нормально, но не для какой-либо реальной производственной среды.
2. Привет, Crypt32, да, как вы и сказали. Какой-нибудь ИТ-специалист в какой-то момент сделает это и предоставит мне самоподписанный сертификат (B в примере), и с этим сертификатом я буду использовать для установления доверия. Но бюрократия заставляет их задерживаться, поэтому я решаю двигаться вперед и тем временем делать это сам.
3. Концептуальная проблема с вашим изображением: подписание выполняется с помощью закрытого ключа , а не открытого ключа. Открытый ключ используется для проверки подписи.
Ответ №1:
using ECDsa aKey = result.Root.GetECDsaPublicKey();
result.A = CreateCert(aKey, "CN=Root CA", "A");
...
: request.Create(distinguishedName, X509SignatureGenerator.CreateForECDsa(key), NotBefore(), NotAfter(), Serial());
Вы пытаетесь выполнить подпись с помощью открытого ключа. Открытые ключи не могут подписываться. Исключение говорит о том, что частная часть ключа отсутствует.
Поскольку ваш код в конечном итоге использует тот же ключ, что и открытый ключ субъекта и ключ подписи, вы пытаетесь создать все свои сертификаты как самоподписанные. Это подтверждается тем, что вы используете одно и то же различимое имя для эмитента и субъекта в каждом сертификате. Таким образом, цепочки вообще не происходит.