c# - 是否可以在 C# 中从根 CA 动态生成 SSL 证书？

Question

我正在我自己的根 CA 下设置一个服务器，以在 .NET Core 下动态生成 SSL 证书。

我可以使用 CertificateRequest 类生成自签名证书。但是，这些证书显然不受拥有我自己的根 CA 的客户的信任。我正在使用 CertificateRequest.CreateSelfSigned() 方法来执行此操作。但是，我不能使用我的根 CA 来签署这些新证书。使用 CertificateRequest.Create() 方法将生成我的新证书，但它不会提供私钥。

public static X509Certificate2 CreateSelfSignedCertificate(string domain)
{
    SubjectAlternativeNameBuilder sanBuilder = new SubjectAlternativeNameBuilder();
    sanBuilder.AddDnsName(domain);

    X500DistinguishedName distinguishedName = new X500DistinguishedName($"CN=On-The-Fly Generated Cert");

    using (RSA rsa = RSA.Create(2048))
    {
        var request = new CertificateRequest(distinguishedName, rsa, HashAlgorithmName.SHA256, RSASignaturePadding.Pkcs1);

        request.CertificateExtensions.Add(
            new X509KeyUsageExtension(X509KeyUsageFlags.DataEncipherment | X509KeyUsageFlags.KeyEncipherment | X509KeyUsageFlags.DigitalSignature, false));


        request.CertificateExtensions.Add(
            new X509EnhancedKeyUsageExtension(
                new OidCollection { new Oid("1.3.6.1.5.5.7.3.1") }, false));

        request.CertificateExtensions.Add(sanBuilder.Build());

        var ca = new X509Certificate2(File.ReadAllBytes(@"E:\testing_ca_certificate.pfx"), "password"); //Open my root CA cert, generated in OpenSSL

        //Generates a cert, but does not provide a private key.
        var certificate = request.Create(ca, new DateTimeOffset(DateTime.UtcNow.AddDays(-1)), new DateTimeOffset(DateTime.UtcNow.AddDays(365)), new byte[] { 0, 1, 2, 3 }); 

        //Generates a usable cert, but is not under my root CA
        //var certificate = request.CreateSelfSigned(new DateTimeOffset(DateTime.UtcNow.AddDays(-1)), new DateTimeOffset(DateTime.UtcNow.AddDays(365)));

        return new X509Certificate2(certificate.Export(X509ContentType.Pfx, "password"), "password", X509KeyStorageFlags.DefaultKeySet);
    }

}

使用 CertificateRequest.Create() 方法，我获得了一个没有私钥的有效证书。我应该有这个私钥，这样我就可以加密 SSL 流量。

Answer 1

Using the CertificateRequest.Create() method, I get a valid cert without a private key.

真正的证书颁发机构不应该在同一个地方同时拥有CA的私钥和匹配证书的私钥。除了当前无法解码认证请求 (CSR) 的事实之外，此方法假定它与提供给 CertificateRequest 构造函数的公钥一起使用。

按照流程，“预期”模型是:

• 客户决定是否需要新证书
• 客户端生成公钥/私钥对
• 客户端向 CA 发送公钥和其他必要信息(PKCS#10 CertificationRequest，或其他方式)
• CA 验证请求
• CA 使用客户端公钥构建CertificateRequest 对象
• CA 使用 CertificateRequest.Create() 生成证书
• CA 将证书发回客户端 (cert.RawData)
• 客户端实例化X509Certificate2实例(只有公钥)
• 客户端使用 CopyWithPrivateKey(扩展)方法将私钥关联到新的证书对象。
• 客户现在想做什么就做什么。

所以，之后

//Generates a cert, but does not provide a private key.
var certificate = request.Create(ca, new DateTimeOffset(DateTime.UtcNow.AddDays(-1)), new DateTimeOffset(DateTime.UtcNow.AddDays(365)), new byte[] { 0, 1, 2, 3 }); 

你应该添加

certificate = certificate.CopyWithPrivateKey(rsa);

(不过，实际上，您应该在 using 语句中包含您的证书对象，以便在不再需要它们时将其丢弃，在这种情况下，您需要第二个变量来保存证书 -键)