Экспорт сертификата X.509 БЕЗ закрытого ключа

Question

Я думал, что это будет просто, но, очевидно, это не так. У меня установлен сертификат с закрытым ключом, который можно экспортировать, и я хочу программно экспортировать его ТОЛЬКО с открытым ключом. Другими словами, я хочу получить результат, эквивалентный выбору «Не экспортировать закрытый ключ» при экспорте через certmgr и экспорте в .CER.

Кажется, что все методы X509Certificate2.Export будут экспортировать закрытый ключ, если он существует, как PKCS # 12, что противоположно тому, что я хочу.

Есть ли способ использовать C # для этого или мне нужно начать копаться в CAPICOM?

Answer 1

Для любого, кто мог бы наткнуться на это, я понял это. Если вы указали X509ContentType.Cert в качестве первого (и единственного) параметра для X509Certificate.Export, он экспортирует только открытый ключ. С другой стороны, указание X509ContentType.Pfx включает закрытый ключ, если он существует.

Я мог поклясться, что на прошлой неделе я видел другое поведение, но у меня уже был установлен закрытый ключ, когда я тестировал. Когда я сегодня удалил этот сертификат и снова начал с нуля, я увидел, что в экспортированном сертификате нет закрытого ключа.

Answer 2

Я нашел следующую программу полезной для того, чтобы убедиться, что свойство RawData сертификата содержит только открытый ключ (MSDN по этому поводу неясен) и что ответ выше относительно X509ContentType.Cert против X509ContentType.Pfx работает как Ожидаемый результат:

using System;
using System.Linq;
using System.IdentityModel.Tokens;
using System.Security.Cryptography.X509Certificates;

class Program
{
    static void Main( string[] args )
    {
        var certPath = @"C:\blah\somecert.pfx";
        var certPassword = "somepassword";

        var orig = new X509Certificate2( certPath, certPassword, X509KeyStorageFlags.Exportable );
        Console.WriteLine( "Orig   : RawData.Length = {0}, HasPrivateKey = {1}", orig.RawData.Length, orig.HasPrivateKey );

        var certBytes = orig.Export( X509ContentType.Cert );
        var certA = new X509Certificate2( certBytes );
        Console.WriteLine( "cert A : RawData.Length = {0}, HasPrivateKey = {1}, certBytes.Length = {2}", certA.RawData.Length, certA.HasPrivateKey, certBytes.Length );

        // NOTE that this the only place the byte count differs from the others
        certBytes = orig.Export( X509ContentType.Pfx );
        var certB = new X509Certificate2( certBytes );
        Console.WriteLine( "cert B : RawData.Length = {0}, HasPrivateKey = {1}, certBytes.Length = {2}", certB.RawData.Length, certB.HasPrivateKey, certBytes.Length );

        var keyIdentifier = ( new X509SecurityToken( orig ) ).CreateKeyIdentifierClause<X509RawDataKeyIdentifierClause>();
        certBytes = keyIdentifier.GetX509RawData();
        var certC = new X509Certificate2( certBytes );
        Console.WriteLine( "cert C : RawData.Length = {0}, HasPrivateKey = {1}, certBytes.Length = {2}", certC.RawData.Length, certC.HasPrivateKey, certBytes.Length );

        Console.WriteLine( "RawData equals original RawData: {0}", certC.RawData.SequenceEqual( orig.RawData ) );

        Console.ReadLine();
    }
}

Выводит следующее:

Orig   : RawData.Length = 1337, HasPrivateKey = True
cert A : RawData.Length = 1337, HasPrivateKey = False, certBytes.Length = 1337
cert B : RawData.Length = 1337, HasPrivateKey = True, certBytes.Length = 3187
cert C : RawData.Length = 1337, HasPrivateKey = False, certBytes.Length = 1337
RawData equals original RawData: True

Answer 3

Существует оболочка OpenSSL .NET , которая может оказаться полезной.