17

我们有一段代码创建了一个 SigningCredentials 对象,用于使用 SHA256 算法对 xml 文档进行签名。它与 .NET 3.5 完美配合。但是,当我们将代码库升级到 .NET 4.5 时,它就会停止工作。相同的代码,相同的证书!我花了几个小时在互联网上调试和搜索,但没有任何运气。

谁能告诉我这里的问题是什么?先感谢您。

创建 SigningCredentials 的代码:

public SigningCredentials CreateSigningCredentials(X509Certificate2 cert)
{
    var ski = new SecurityKeyIdentifier(new X509RawDataKeyIdentifierClause(cert));
    return new SigningCredentials(new X509AsymmetricSecurityKey(cert), "http://www.w3.org/2001/04/xmldsig-more#rsa-sha256", "http://www.w3.org/2001/04/xmlenc#sha256", ski);
}

例外:

[CryptographicException: Invalid algorithm specified.
]
   System.Security.Cryptography.CryptographicException.ThrowCryptographicException(Int32 hr) +41
   System.Security.Cryptography.Utils.SignValue(SafeKeyHandle hKey, Int32 keyNumber, Int32 calgKey, Int32 calgHash, Byte[] hash, Int32 cbHash, ObjectHandleOnStack retSignature) +0
   System.Security.Cryptography.Utils.SignValue(SafeKeyHandle hKey, Int32 keyNumber, Int32 calgKey, Int32 calgHash, Byte[] hash) +118
   System.Security.Cryptography.RSACryptoServiceProvider.SignHash(Byte[] rgbHash, Int32 calgHash) +334
   System.Security.Cryptography.RSAPKCS1SignatureFormatter.CreateSignature(Byte[] rgbHash) +321
   System.IdentityModel.SignedXml.ComputeSignature(HashAlgorithm hash, AsymmetricSignatureFormatter formatter, String signatureMethod) +323
   System.IdentityModel.SignedXml.ComputeSignature(SecurityKey signingKey) +690
   System.IdentityModel.EnvelopedSignatureWriter.ComputeSignature() +338
   System.IdentityModel.EnvelopedSignatureWriter.OnEndRootElement() +278
   System.IdentityModel.Metadata.MetadataSerializer.WriteEntityDescriptor(XmlWriter inputWriter, EntityDescriptor entityDescriptor) +1109
4

3 回答 3

16

XmlDsig 有同样的问题(试图用 RSA-SHA256 算法对 xml 文档进行封装签名)。首先我得到了例外

System.Security.Cryptography.CryptographicException:无法为提供的签名算法创建 SignatureDescription。

然后我发现提到RSAPKCS1SHA256SignatureDescription- RSA-SHA256 签名的签名描述实现。
此处的完整实施:http:
//clrsecurity.codeplex.com/SourceControl/changeset/view/47833#269110
或此处:https ://gist.github.com/sneal/f35de432115b840c4c1f

您必须为每个 appdomain 手动调用一次:

CryptoConfig.AddAlgorithm(typeof(RSAPKCS1SHA256SignatureDescription), "http://www.w3.org/2001/04/xmldsig-more#rsa-sha256");

之后我得到了一个新的例外:

System.Security.Cryptography.CryptographicException:指定的算法无效。

这让我想到了你的问题。阅读建议的文章后,我使用Microsoft Enhanced RSA and AES Cryptographic Provider.
令我惊讶的是,这个新证书使我能够成功地进行签名。

经过更多调查后,我在这里找到了 Andrew 的有趣答案https://stackoverflow.com/a/17285774/328785,他曾经在那里RSACryptoServiceProviderSignedXml课堂准备 SecretKey。特别是这部分(我的解释):

var store = new X509Store(StoreName.My, StoreLocation.CurrentUser);
store.Open(OpenFlags.OpenExistingOnly | OpenFlags.ReadOnly);
var certificates =  store.Certificates.Find(X509FindType.FindBySerialNumber,  "54dba096", true);
var certificate = certificates[0];

// next three lines
var cspParams = new CspParameters(24) { KeyContainerName = "XML_DSIG_RSA_KEY" };
var key = new RSACryptoServiceProvider(cspParams);
key.FromXmlString(certificate.PrivateKey.ToXmlString(true));

SignedXml sxml = new SignedXml(doc);
sxml.SigningKey = key;

即使使用旧钥匙,这个解决方案也能正常工作!

于 2015-02-25T12:02:25.163 回答
3

虽然这个问题是在大约一年前提出的,但最近收到了一些赞成票,这可能表明其他一些人也遇到了同样的问题。希望这个答案可以帮助:) 简而言之,错误不会发生在所有机器上,而只会发生在其中一些机器上。我想这取决于在特定机器上注册了哪些 CSP。无论如何,在我的具体情况下,证书是使用“Microsoft RSA SChannel ...”或“Microsoft strong cryptographic provider”作为 CSP 生成的。我生成了一个新证书,但使用“Microsoft Enhanced RSA and AES Cryptographic Provider”作为 CSP,它的 SHA256 签名开始为我工作。

一些参考资料:

https://social.msdn.microsoft.com/Forums/vstudio/en-US/e391ba75-ce6e-431c-bfc9-26a71ae1b033/sha256-signing-stops-working-in-net-45?forum=Geneva _可以看到,感谢帮助我解决这个问题的 Paul)

http://hintdesk.com/c-how-to-fix-invalid-algorithm-specified-when-signing-with-sha256/

于 2014-10-20T07:21:00.393 回答
0

尽管这个问题已经很老了,但我很确定有人迟早会遇到它。

最近,我们一直在处理在仅支持 TLS 1.2 并且禁用了 SHA-1 哈希算法的服务器上运行的服务。我们需要签署整个 pain.something.something 文件,这使得最流行的答案毫无用处。

这是我们发现的:

  1. 如果使用证书私钥作为 SigningKey,则只能使用 SHA-1 算法进行签名。
  2. 您需要使用方法获取私钥GetRSAPrivateKey
  3. 您需要将 signedXML 的 SignatureMethod 设置为SecurityAlgorithms.RsaSha256Signature
  4. 您需要将参考对象的 DigestMethod 设置为SecurityAlgorithms.Sha256Digest.

然后,你可以走了。这也是执行此操作的示例代码:

private static void SignXmlDocumentEx(XmlElement el, X509Certificate2 cert)
{
    var dataId = string.Format("Signature-{0}", Guid.NewGuid());
    var signedXml = new System.Security.Cryptography.Xml.SignedXml(el);
    signedXml.SigningKey = cert.GetRSAPrivateKey();
    signedXml.SignedInfo.SignatureMethod = SecurityAlgorithms.RsaSha256Signature;
    signedXml.Signature.Id = dataId;
    var reference = new Reference(dataId);
    reference.AddTransform(new XmlDsigEnvelopedSignatureTransform());
    reference.Uri = "";
    reference.DigestMethod = SecurityAlgorithms.Sha256Digest;
    signedXml.AddReference(reference);
    signedXml.KeyInfo = new KeyInfo();
    signedXml.KeyInfo.AddClause(new KeyInfoX509Data(cert, X509IncludeOption.EndCertOnly));
    signedXml.ComputeSignature();
    el.AppendChild(signedXml.GetXml());
}
于 2019-03-12T15:29:18.647 回答