/ 28 января 2020

У меня проблема с программированием сертификата в C#, подробности приведены ниже. 1- Я хочу экспортировать сертификат (закрытый и открытый ключ c) и импортировать этот сертификат на другой сервер. Поэтому я экспортировал это и импортировал на новый сервер (экспорт и импорт был выполнен в MM C). 2- я выполняю приведенный ниже код, чтобы убедиться в правильности экспорта и импорта.

var signedCer = CertificateHelper.GetCertificateFromStoreBySubject("MySubject", StoreName.My, StoreLocation.LocalMachine);
if (signedCer != null)
   var rsapk = signedCer.GetRSAPrivateKey();
   var rsaParameter=rsapk.ExportParameters(true);
   var z = rsapk.ToXmlString(true);

приведенный выше код работает на старом сервере правильно, но когда я выполняю его на новом сервере, возникает ошибка ниже.

The requested operation is not supported.

   at System.Security.Cryptography.NCryptNative.ExportKey(SafeNCryptKeyHandle key, String format)
   at System.Security.Cryptography.CngKey.Export(CngKeyBlobFormat format)
   at System.Security.Cryptography.RSACng.ExportParameters(Boolean includePrivateParameters)
   at System.Security.Cryptography.RSA.ToXmlString(Boolean includePrivateParameters)

Может ли кто-нибудь помочь мне найти решение этой проблемы.


1 Ответ

/ 28 января 2020

История вопроса этой проблемы

  • Причина, по которой мы не можем извлечь параметры RSA сертификата pfx с использованием certificate.GetRSAPrivateKey.ExportParameters(true), заключается в том, что потому что сертификат внутренне использует CNG, а не CryptoAPI (CAPI).

  • CryptographyAPI Next Generation (CNG) - это долгосрочная замена CryptoAPI (CAPI). NG предназначен для расширения на многих уровнях и криптографии c в поведении.

  • Существует 2 типа экспорта СПГ, «Экспорт» и "PlainTextExport" .

  • В основном, политика экспорта по умолчанию - «Экспорт», и для того, чтобы мы получили параметры RSA, мы также должны установить политику «AllowPlaintextExport»

  • Чтобы установить «AllowPlainTextExport», мы должны получить доступ к неуправляемым библиотекам C ++ из C#.

Объективная разбивка :

 static void Main(string[] args)
      var certName = "CN=localhost";
      var certBytes = GetByteArrayCertificateFromStore(certName, StoreName.My, StoreLocation.CurrentUser);
      X509Certificate2 cert = ImportExportable(certBytes, "password", machineScope: false);
      var rsaPrivateParams = cert.GetRSAPrivateKey().ExportParameters(true);

  • Найдите из хранилища сертификатов существующий файл pfx, параметры rsa которого вы будете экспортировать
  • Invoke GetByteArrayCertificateFromStore, который возвращает byteArray указанного сертификата
  • Экспорт сертификата с байтовым массивом в качестве параметра
  • Установка Enum для X509KeyStorageFlags на Exportable
  • Импорт экспортированного сертификата
  • Установка политики экспорта "PlainTextExport "
  • Вызвать GetRSAPrivatekey() и ExportParameters()
  • Закрыть хранилище


using Microsoft.Win32.SafeHandles;
using System;
using System.ComponentModel;
using System.Runtime.InteropServices;
using System.Security.Cryptography;
using System.Security.Cryptography.X509Certificates;

namespace certificate
 public class Program
    public static X509Store store; public static SafeNCryptKeyHandle keyHandler;

    static void Main(string[] args)
        var certName = "CN=localhost";
        var certBytes = GetByteArrayCertificateFromStore(certName, StoreName.My, StoreLocation.CurrentUser);
        X509Certificate2 cert = ImportExportable(certBytes, "password", machineScope: false);
        var rsaPrivateParams = cert.GetRSAPrivateKey().ExportParameters(true);


    public static byte [] GetByteArrayCertificateFromStore(string certName, StoreName sname, StoreLocation sLoc)
        store = new X509Store(sname, sLoc);

            X509Certificate2Collection certCollection = store.Certificates;
            X509Certificate2Collection currentCerts = certCollection.Find(X509FindType.FindByTimeValid, DateTime.Now, false);
            X509Certificate2Collection signingCert = currentCerts.Find(X509FindType.FindBySubjectDistinguishedName, certName, true);
            if (signingCert.Count == 0)
                throw new InvalidOperationException();
            return  signingCert.Export(X509ContentType.Pfx, "password");


    private static X509Certificate2 ImportExportable(byte[] pfxBytes, string password, bool machineScope)
        X509KeyStorageFlags flags = X509KeyStorageFlags.Exportable;

        if (machineScope)
            flags |= X509KeyStorageFlags.MachineKeySet;
            flags |= X509KeyStorageFlags.UserKeySet;

        X509Certificate2 cert = new X509Certificate2(pfxBytes, password, flags);

            bool gotKey = NativeMethods.Crypt32.CryptAcquireCertificatePrivateKey(
                out SafeNCryptKeyHandle keyHandle,
                out int keySpec,
                out bool callerFree);

            if (!gotKey)
                throw new InvalidOperationException("No private key");

            if (!callerFree)
                throw new InvalidOperationException("Key is not persisted");

            using (keyHandle)
                // -1 == CNG, otherwise CAPI
                if (keySpec == -1)
                    using (CngKey cngKey = CngKey.Open(keyHandle, CngKeyHandleOpenOptions.None))
                        // If the CNG->CAPI bridge opened the key then AllowPlaintextExport is already set.
                        if ((cngKey.ExportPolicy & CngExportPolicies.AllowPlaintextExport) == 0)
                            FixExportability(cngKey, machineScope);
            keyHandler = keyHandle;

        return cert;

    internal static void FixExportability(CngKey cngKey, bool machineScope)
        string password = nameof(NativeMethods.Crypt32.AcquireCertificateKeyOptions);
        byte[] encryptedPkcs8 = ExportEncryptedPkcs8(cngKey, password, 1);
        string keyName = cngKey.KeyName;

        using (SafeNCryptProviderHandle provHandle = cngKey.ProviderHandle)

    internal const string NCRYPT_PKCS8_PRIVATE_KEY_BLOB = "PKCS8_PRIVATEKEY";
    private static readonly byte[] s_pkcs12TripleDesOidBytes =

    private static unsafe byte[] ExportEncryptedPkcs8(
        CngKey cngKey,
        string password,
        int kdfCount)
        var pbeParams = new NativeMethods.NCrypt.PbeParams();
        NativeMethods.NCrypt.PbeParams* pbeParamsPtr = &pbeParams;

        byte[] salt = new byte[NativeMethods.NCrypt.PbeParams.RgbSaltSize];

        using (RandomNumberGenerator rng = RandomNumberGenerator.Create())

        pbeParams.Params.cbSalt = salt.Length;
        Marshal.Copy(salt, 0, (IntPtr)pbeParams.rgbSalt, salt.Length);
        pbeParams.Params.iIterations = kdfCount;

        fixed (char* stringPtr = password)
        fixed (byte* oidPtr = s_pkcs12TripleDesOidBytes)
            NativeMethods.NCrypt.NCryptBuffer* buffers =
                stackalloc NativeMethods.NCrypt.NCryptBuffer[3];

            buffers[0] = new NativeMethods.NCrypt.NCryptBuffer
                BufferType = NativeMethods.NCrypt.BufferType.PkcsSecret,
                cbBuffer = checked(2 * (password.Length + 1)),
                pvBuffer = (IntPtr)stringPtr,

            if (buffers[0].pvBuffer == IntPtr.Zero)
                buffers[0].cbBuffer = 0;

            buffers[1] = new NativeMethods.NCrypt.NCryptBuffer
                BufferType = NativeMethods.NCrypt.BufferType.PkcsAlgOid,
                cbBuffer = s_pkcs12TripleDesOidBytes.Length,
                pvBuffer = (IntPtr)oidPtr,

            buffers[2] = new NativeMethods.NCrypt.NCryptBuffer
                BufferType = NativeMethods.NCrypt.BufferType.PkcsAlgParam,
                cbBuffer = sizeof(NativeMethods.NCrypt.PbeParams),
                pvBuffer = (IntPtr)pbeParamsPtr,

            var desc = new NativeMethods.NCrypt.NCryptBufferDesc
                cBuffers = 3,
                pBuffers = (IntPtr)buffers,
                ulVersion = 0,

            using (var keyHandle = cngKey.Handle)
                int result = NativeMethods.NCrypt.NCryptExportKey(
                    ref desc,
                    out int bytesNeeded,

                if (result != 0)
                    throw new Win32Exception(result);

                byte[] exported = new byte[bytesNeeded];

                result = NativeMethods.NCrypt.NCryptExportKey(
                    ref desc,
                    out bytesNeeded,

                if (result != 0)
                    throw new Win32Exception(result);

                if (bytesNeeded != exported.Length)
                    Array.Resize(ref exported, bytesNeeded);

                return exported;

    private static unsafe void ImportEncryptedPkcs8Overwrite(
        byte[] encryptedPkcs8,
        string keyName,
        SafeNCryptProviderHandle provHandle,
        bool machineScope,
        string password)
        SafeNCryptKeyHandle keyHandle;

        fixed (char* passwordPtr = password)
        fixed (char* keyNamePtr = keyName)
        fixed (byte* blobPtr = encryptedPkcs8)
            NativeMethods.NCrypt.NCryptBuffer* buffers = stackalloc NativeMethods.NCrypt.NCryptBuffer[2];

            buffers[0] = new NativeMethods.NCrypt.NCryptBuffer
                BufferType = NativeMethods.NCrypt.BufferType.PkcsSecret,
                cbBuffer = checked(2 * (password.Length + 1)),
                pvBuffer = new IntPtr(passwordPtr),

            if (buffers[0].pvBuffer == IntPtr.Zero)
                buffers[0].cbBuffer = 0;

            buffers[1] = new NativeMethods.NCrypt.NCryptBuffer
                BufferType = NativeMethods.NCrypt.BufferType.PkcsName,
                cbBuffer = checked(2 * (keyName.Length + 1)),
                pvBuffer = new IntPtr(keyNamePtr),

            NativeMethods.NCrypt.NCryptBufferDesc desc = new NativeMethods.NCrypt.NCryptBufferDesc
                cBuffers = 2,
                pBuffers = (IntPtr)buffers,
                ulVersion = 0,

            NativeMethods.NCrypt.NCryptImportFlags flags =
                NativeMethods.NCrypt.NCryptImportFlags.NCRYPT_OVERWRITE_KEY_FLAG |

            if (machineScope)
                flags |= NativeMethods.NCrypt.NCryptImportFlags.NCRYPT_MACHINE_KEY_FLAG;

            int errorCode = NativeMethods.NCrypt.NCryptImportKey(
                ref desc,
                out keyHandle,
                new IntPtr(blobPtr),

            if (errorCode != 0)
                throw new Win32Exception(errorCode);

            using (keyHandle)
            using (CngKey cngKey = CngKey.Open(keyHandle, CngKeyHandleOpenOptions.None))
                const CngExportPolicies desiredPolicies =
                    CngExportPolicies.AllowExport | CngExportPolicies.AllowPlaintextExport;

                    new CngProperty(
                        "Export Policy",

                int error = NativeMethods.NCrypt.NCryptFinalizeKey(keyHandle, 0);

                if (error != 0)
                    throw new Win32Exception(error);

internal static class NativeMethods
    internal static class Crypt32
        internal enum AcquireCertificateKeyOptions
            None = 0x00000000,
            CRYPT_ACQUIRE_ONLY_NCRYPT_KEY_FLAG = 0x00040000,

        [DllImport("crypt32.dll", SetLastError = true)]
        internal static extern bool CryptAcquireCertificatePrivateKey(
            IntPtr pCert,
            AcquireCertificateKeyOptions dwFlags,
            IntPtr pvReserved,
            out SafeNCryptKeyHandle phCryptProvOrNCryptKey,
            out int dwKeySpec,
            out bool pfCallerFreeProvOrNCryptKey);

    internal static class NCrypt
        [DllImport("ncrypt.dll", CharSet = CharSet.Unicode)]
        internal static extern int NCryptExportKey(
            SafeNCryptKeyHandle hKey,
            IntPtr hExportKey,
            string pszBlobType,
            ref NCryptBufferDesc pParameterList,
            byte[] pbOutput,
            int cbOutput,
            [Out] out int pcbResult,
            int dwFlags);

        internal unsafe struct PbeParams
            internal const int RgbSaltSize = 8;

            internal CryptPkcs12PbeParams Params;
            internal fixed byte rgbSalt[RgbSaltSize];

        internal struct CryptPkcs12PbeParams
            internal int iIterations;
            internal int cbSalt;

        internal struct NCryptBufferDesc
            public int ulVersion;
            public int cBuffers;
            public IntPtr pBuffers;

        internal struct NCryptBuffer
            public int cbBuffer;
            public BufferType BufferType;
            public IntPtr pvBuffer;

        internal enum BufferType
            PkcsAlgOid = 41,
            PkcsAlgParam = 42,
            PkcsName = 45,
            PkcsSecret = 46,

        [DllImport("ncrypt.dll", CharSet = CharSet.Unicode)]
        internal static extern int NCryptOpenStorageProvider(
            out SafeNCryptProviderHandle phProvider,
            string pszProviderName,
            int dwFlags);

        internal enum NCryptImportFlags
            None = 0,
            NCRYPT_MACHINE_KEY_FLAG = 0x00000020,
            NCRYPT_OVERWRITE_KEY_FLAG = 0x00000080,
            NCRYPT_DO_NOT_FINALIZE_FLAG = 0x00000400,

        [DllImport("ncrypt.dll", CharSet = CharSet.Unicode)]
        internal static extern int NCryptImportKey(
            SafeNCryptProviderHandle hProvider,
            IntPtr hImportKey,
            string pszBlobType,
            ref NCryptBufferDesc pParameterList,
            out SafeNCryptKeyHandle phKey,
            IntPtr pbData,
            int cbData,
            NCryptImportFlags dwFlags);

        [DllImport("ncrypt.dll", CharSet = CharSet.Unicode)]
        internal static extern int NCryptFinalizeKey(SafeNCryptKeyHandle hKey, int dwFlags);


Выход :

enter image description here


Примечание. Чтобы компилятор принял небезопасный код, перейдите к «Проект»> «Свойства»> «Сборка»> «Разрешить UnsafeCode»

Кредиты: Спасибо Бартону js за его многочисленные подробные ответы на эту тему c

