Question

У нас есть действующий Запрос сертификата PKCS # 10, сгенерированный на Клиенте с использованием CertEnroll.

Теперь нам нужно подписать его и вернуть результат клиенту, где CertEnroll будет обрабатывать локальное хранилище сертификатов.

Это приложение B2B, и корневой сертификат подписи будет сгенерирован самостоятельно, или мы можем использовать существующий сертификат Thawte SSL.

Сервер (2008) не имеет запущенной Active Directory, и мы не хотим создавать для этого автономную инфраструктуру / службу подписи, если это не является абсолютно необходимым. Нет необходимости в отзыве и т. Д. - мы хотим сделать это программно.

Я был бы рад использовать библиотеку BouncyCastle, однако в библиотеке C # отсутствует какая-либо содержательная документация, и хотя исходные документы Java, по общему признанию, похожи, реализация C # отличается настолько, что оставила меня в некотором замешательстве.

Кто-нибудь знает (или имеет) образец кода C # (или VB) или известную ссылку на него, используя BouncyCastle или, если на то пошло, собственные классы .Net?

Любая помощь в достижении этой цели будет принята с благодарностью!

Serexx · Answer 1 · 13 июля 2012

Это оказалось интересным упражнением, если не сказать больше: -)

Мы использовали объекты BouncyCastle и сертификата .Net.Решение еще есть! Много!Пространство для улучшения, но на самом деле оно работает.

Суть этого (Cert Gen) ниже.Когда мы попадаем сюда, CSR уже был сгенерирован на клиенте, и когда мы уходим, полученный сертификат устанавливается с помощью кода на стороне клиента (см. этот блог для работы на стороне клиента.)

Опять же, я не предлагаю это в качестве готового продукта, но надеюсь, что он будет полезен тем, кто сталкивается с той же задачей.Счастливое шифрование: -)

        // Jul 10, 2012 see
        // http://social.technet.microsoft.com/Forums/en-NZ/winserversecurity/thread/45781b46-3eb7-4715-b877-883bf0dc2ae7
        // instaed of CX509CertificateRequestPkcs10 csr = new CX509CertificateRequestPkcs10(); use:
        IX509CertificateRequestPkcs10 csr = (IX509CertificateRequestPkcs10)Activator.CreateInstance(Type.GetTypeFromProgID("X509Enrollment.CX509CertificateRequestPkcs10"));
        csr.InitializeDecode(csrText, EncodingType.XCN_CRYPT_STRING_BASE64);
        csr.CheckSignature(Pkcs10AllowedSignatureTypes.AllowedKeySignature);

        //get Bouncy CSRInfo Object
        Trace.Write("get Bouncy CSRInfo Object");
        Byte[] csrBytes = Convert.FromBase64String(csrText);
        CertificationRequestInfo csrInfo = CertificateTools.GetCsrInfo(csrBytes);
        SubjectPublicKeyInfo pki = csrInfo.SubjectPublicKeyInfo;

        //pub key for the signed cert
        Trace.Write("pub key for the signed cert");
        AsymmetricKeyParameter publicKey = PublicKeyFactory.CreateKey(pki);

        // Build a Version1 (No Extensions) Certificate
        DateTime startDate = DateTime.Now;
        DateTime expiryDate = startDate.AddYears(100);
        BigInteger serialNumber = new BigInteger(32, new Random());

        Trace.Write("Build a Version1 (No Extensions) Certificate");
        X509V1CertificateGenerator certGen = new X509V1CertificateGenerator();
        string signerCN = ConfigurationManager.AppSettings["signerCN"].ToString();
        X509Name dnName = new X509Name(String.Format("CN={0}", signerCN));
        X509Name cName = new X509Name(csr.Subject.Name);
        certGen.SetSerialNumber(serialNumber);
        certGen.SetIssuerDN(dnName);
        certGen.SetNotBefore(startDate);
        certGen.SetNotAfter(expiryDate);
        certGen.SetSubjectDN(cName);
        certGen.SetSignatureAlgorithm("SHA1withRSA");
        certGen.SetPublicKey(publicKey);

        //get our Private Key to Sign with
        Trace.Write("get our Private Key to Sign with");
        X509Store store = new X509Store(StoreLocation.LocalMachine);
        store.Open(OpenFlags.ReadOnly);
        string signerThumbprint = ConfigurationManager.AppSettings["signerThumbprint"].ToString();
        X509Certificate2Collection collection = (X509Certificate2Collection)store.Certificates;
        X509Certificate2Collection fcollection = (X509Certificate2Collection)collection.Find(X509FindType.FindByThumbprint, signerThumbprint, false);
        X509Certificate2 caCert = fcollection[0];

        Trace.Write("Found:" + caCert.FriendlyName);
        Trace.Write("Has Private " + caCert.HasPrivateKey.ToString());
        Trace.Write("Key Size " + caCert.PrivateKey.KeySize.ToString());

        //Get our Signing Key as a Bouncy object
        Trace.Write("Get our Signing Key as a Bouncy object from key ");
        AsymmetricCipherKeyPair caPair = DotNetUtilities.GetKeyPair(caCert.PrivateKey);

        //gen BouncyCastle object
        Trace.Write("gen BouncyCastle object");
        Org.BouncyCastle.X509.X509Certificate cert = certGen.Generate(caPair.Private);

        //convert to windows type 2 and get Base64 String
        Trace.Write("convert to windows type 2 and get Base64 String");
        X509Certificate2 cert2 = new X509Certificate2(DotNetUtilities.ToX509Certificate(cert));
        byte[] encoded = cert2.GetRawCertData();
        string certOutString = Convert.ToBase64String(encoded);

        //output to the page (hidden)
        Certificate.Value = certOutString;

.Net программно подписывает запрос PKCS # 10 с помощью Bouncy Castle

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

.Net программно подписывает запрос PKCS # 10 с помощью Bouncy Castle

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы