c# - 通过代码访问时私钥为空，为什么？

Question

我的机器上安装了一个证书，当我去查看它时，我看到消息“您有一个与此证书对应的私钥”但是，当我尝试在代码中访问该私钥时，它为空。我使用以下代码获取我的证书：

var x509Certificate = GetCertificate(StoreName.My, StoreLocation.LocalMachine, "CN=SomeCert");

在哪里：

public X509Certificate2 GetCertificate(string storeName, string storeLocation, string subjectName)
{
     var store = new X509Store(getStoreName(storeName), getStoreLocation(storeLocation));
     X509Certificate2Collection certificates = null;
     store.Open(OpenFlags.ReadOnly);

     try
     {
          X509Certificate2 result = null;
          certificates = store.Certificates;
          return getCertificateResult(certificates, subjectName, result);
     }
     finally
     {
          if (certificates != null)
          {
               foreach (var cert in certificates)
               {
                    cert.Reset();
               }
          }
          store.Close();
     }
}

和：

private static X509Certificate2 getCertificateResult(IEnumerable certificates, string subjectName, X509Certificate2 result)
{
     foreach (var cert in certificates.Cast<X509Certificate2>().Where(cert => cert.SubjectName.Name != null && cert.SubjectName.Name.ToLower() == subjectName.ToLower()))
     {
          if (result != null)
          {
             throw new ApplicationException(string.Format("There is more than one certificate found for subject Name {0}", subjectName));
          }
          result = new X509Certificate2(cert);
     }

     if (result == null)
     {
          throw new ApplicationException(string.Format("No certificate was found for subject Name {0}", subjectName));
     }
     return result;
}

我可以很好地取回证书，但是当我尝试访问私钥时，请执行以下操作：

x509Certificate.PrivateKey

PrivateKey 的值为空。我究竟做错了什么？我需要这个值来签署 SAML2 请求。

注意：我知道我在那里有一些抽象，但重点是我取回了证书（已找到），但私钥为空。如果有更多关于我的抽象的信息阻止问题得到回答，我可以提供更多细节。

score 6 · Accepted Answer

正如这里所描述的文件 .cer（我想它也适用于所有证书格式）不能包含私钥。从安全的角度来看，它看起来是正确的，因为这个文件是公开的。
但X509Certificate2不仅仅是证书，它是证书本身和其他一些东西的容器。这就是它有属性的原因PrivateKey。如果您在代码中需要此信息并且您有私钥文件 ( .pvk) 和密码 - 您可以使用.pfx文件而不是.cer. 它可以使用pvk2pfx实用程序创建：

> MakeCert -r -pe -ss SampleStoreName -n "CN=Sample" Sample.cer -sky exchange -sv Sample.pvk
> pvk2pfx -pvk Sample.pvk -pi SamplePassword -spc Sample.cer -pfx Sample.pfx -f

score 2 · Accepted Answer

Reset的文档声明它释放了证书的资源。当然，由于该方法称为 Reset 而不是 Dispose，因此可以合理地假设实例应该能够在以后再次需要这些资源时重新获取这些资源。不幸的是，事实并非如此。

在 GetCertificate 的 finally 块中，您对集合中的每个证书（包括您要返回的证书）调用 Reset，这使其无用。

score 0 · Accepted Answer

我知道这个问题已经很老了，但对于任何未来的读者，让我补充一下我的想法。

对我来说，您获得的证书似乎不包含私钥。商店中的所有证书都没有私钥。当然，您自己的证书将具有私钥，但其他实体的证书将没有有意义的私钥。

在您的代码中，您没有显示您从中获取证书的商店位置。难道你得到的证书不是你自己的吗？

c# - 通过代码访问时私钥为空，为什么？

3 回答 3

Related

Reference