是否可以仅使用 C# 以编程方式生成 X509 证书?
Posted
技术标签:
【中文标题】是否可以仅使用 C# 以编程方式生成 X509 证书?【英文标题】:Is it possible to programmatically generate an X509 certificate using only C#? 【发布时间】:2011-04-15 18:36:36 【问题描述】:我们正在尝试使用 C# 和 BouncyCastle 库以编程方式生成 X509 证书(包括私钥)。我们尝试使用来自this sample by Felix Kollmann 的一些代码,但证书的私钥部分返回 null。代码和单元测试如下:
using System;
using System.Collections;
using Org.BouncyCastle.Asn1;
using Org.BouncyCastle.Asn1.X509;
using Org.BouncyCastle.Crypto;
using Org.BouncyCastle.Crypto.Generators;
using Org.BouncyCastle.Crypto.Prng;
using Org.BouncyCastle.Math;
using Org.BouncyCastle.Security;
using Org.BouncyCastle.X509;
namespace MyApp
public class CertificateGenerator
/// <summary>
///
/// </summary>
/// <remarks>Based on <see cref="http://www.fkollmann.de/v2/post/Creating-certificates-using-BouncyCastle.aspx"/></remarks>
/// <param name="subjectName"></param>
/// <returns></returns>
public static byte[] GenerateCertificate(string subjectName)
var kpgen = new RsaKeyPairGenerator();
kpgen.Init(new KeyGenerationParameters(new SecureRandom(new CryptoApiRandomGenerator()), 1024));
var kp = kpgen.GenerateKeyPair();
var gen = new X509V3CertificateGenerator();
var certName = new X509Name("CN=" + subjectName);
var serialNo = BigInteger.ProbablePrime(120, new Random());
gen.SetSerialNumber(serialNo);
gen.SetSubjectDN(certName);
gen.SetIssuerDN(certName);
gen.SetNotAfter(DateTime.Now.AddYears(100));
gen.SetNotBefore(DateTime.Now.Subtract(new TimeSpan(7, 0, 0, 0)));
gen.SetSignatureAlgorithm("MD5WithRSA");
gen.SetPublicKey(kp.Public);
gen.AddExtension(
X509Extensions.AuthorityKeyIdentifier.Id,
false,
new AuthorityKeyIdentifier(
SubjectPublicKeyInfoFactory.CreateSubjectPublicKeyInfo(kp.Public),
new GeneralNames(new GeneralName(certName)),
serialNo));
gen.AddExtension(
X509Extensions.ExtendedKeyUsage.Id,
false,
new ExtendedKeyUsage(new ArrayList() new DerObjectIdentifier("1.3.6.1.5.5.7.3.1") ));
var newCert = gen.Generate(kp.Private);
return DotNetUtilities.ToX509Certificate(newCert).Export(System.Security.Cryptography.X509Certificates.X509ContentType.Pkcs12, "password");
单元测试:
using System.Security.Cryptography;
using System.Security.Cryptography.X509Certificates;
using Microsoft.VisualStudio.TestTools.UnitTesting;
namespace MyApp
[TestClass]
public class CertificateGeneratorTests
[TestMethod]
public void GenerateCertificate_Test_ValidCertificate()
// Arrange
string subjectName = "test";
// Act
byte[] actual = CertificateGenerator.GenerateCertificate(subjectName);
// Assert
var cert = new X509Certificate2(actual, "password");
Assert.AreEqual("CN=" + subjectName, cert.Subject);
Assert.IsInstanceOfType(cert.PrivateKey, typeof(RSACryptoServiceProvider));
【问题讨论】:
【参考方案1】:澄清一下,X.509 证书不包含私钥。 certificate 一词有时被误用来表示证书和私钥的组合,但它们是两个不同的实体。使用证书的全部意义在于或多或少地公开发送它们,而不发送必须保密的私钥。 X509Certificate2 对象可能有一个与之关联的私钥(通过其PrivateKey 属性),但这只是作为此类设计的一部分的便利。
在您的第一个 BouncyCastle 代码示例中,newCert 实际上只是证书,DotNetUtilities.ToX509Certificate(newCert) 仅由证书构建。
考虑到 PKCS#12 格式需要存在私钥,我很惊讶以下部分甚至可以工作(考虑到您在不可能知道私钥的证书上调用它):
.Export(System.Security.Cryptography.X509Certificates.X509ContentType.Pkcs12,
"password");
(gen.Generate(kp.Private) 使用私钥对证书进行签名,但没有将私钥放入证书中,这没有意义。)
如果您希望您的方法同时返回证书和私钥,您可以:
返回一个X509Certificate2 对象,您已在其中初始化了 PrivateKey 属性
构建一个 PKCS#12 存储并返回其 byte[] 内容(就像它是一个文件一样)。 Step 3 in the link you've sent (mirror) 解释了如何构建 PKCS#12 商店。
返回 X.509 证书本身的 byte[] (DER) 结构将不包含私钥。
如果您的主要关注点(根据您的测试用例)是检查证书是否由 RSA 密钥对构建,则可以改为检查其公钥的类型。
【讨论】:
+1,很好的解释。你看过 PKCS#12 规范吗?这是残酷!我认为使用 PKCS#12 几乎一切皆有可能;您不需要拥有私钥。通常,PKCS#12 用于保存私钥和相关证书,但也有其他可能性。 第 3 步提供的链接似乎已关闭。谢天谢地,archive.org 仍然有内容:web.archive.org/web/20100504192226/http://www.fkollmann.de/v2/… @Zenox,随时编辑我的答案并替换它,这也应该给你几点。 我认为这个主题/问题很棒,因为如果您想在 WCF 中启用消息安全性并且您不想或可以在机器上部署证书,请创建“in-memory-one-时间证书”将是无需根证书即可启用安全性的好方法。这是一个使用 Windows API 创建证书的人的链接。我没有尝试,但也许它可以帮助某人实现他的目标:vtrifonov.com/2012/10/… 如何使用充气城堡签署证书,或使用充气城堡制作 CA 签名证书【参考方案2】:我意识到这是一篇旧帖子,但我发现了这些经过整个过程的优秀文章:
Using Bouncy Castle from .NET
【讨论】:
对于此类主题,meta 是你的朋友:meta.stackexchange.com/questions/8231/… 这是一个很好的工作示例。但是,它已经过时了。SetSignatureAlgorithm() 等一些函数会显示弃用警告。有人可能有更新吗?以上是关于是否可以仅使用 C# 以编程方式生成 X509 证书?的主要内容,如果未能解决你的问题,请参考以下文章