我有一个要转换为 PKCS12 文件 (PFX) 的.PEM 文件,我知道我可以使用以下openssl命令轻松完成此操作:
Create a PKCS#12 file: openssl pkcs12 -export -in file.pem -out file.p12 -name "My Certificate"
这很好,但我想使用OpenSSL调用以编程方式执行此操作。不幸的是,OpenSSL 的文档并不理想。
我已经研究过使用其他库来做到这一点:
使用 .NET:我可以从 PEM 文件创建 X509Certificate2 对象,但这只会获取第一个证书并忽略 PEM 文件中的任何中间 CA。
使用Mentalis.org安全库:我可以从 PEM 文件创建证书对象,但我在文档中看到以下内容:
备注 此实现仅从 PEM 文件中读取证书。它不会从证书文件中读取私钥(如果存在)。
所以,这对我没有帮助。我也需要那个私钥。
我基本上需要重新创建用于 PEM>PFX 的 OpenSSL 命令行工具操作,但在代码中。
有没有更简单的方法来做到这一点?
您可以使用BouncyCastle(假设 C#,因为您提到了 .NET)。
假设localhost.pem这里包含证书和私钥,这样的东西应该可以工作:
using System;
using System.Collections;
using System.Linq;
using System.Text;
using System.IO;
using Org.BouncyCastle.Crypto;
using Org.BouncyCastle.OpenSsl;
using Org.BouncyCastle.Pkcs;
using Org.BouncyCastle.X509;
using Org.BouncyCastle.Security;
namespace TestApplication
{
class Program
{
static void Main(string[] args)
{
StreamReader sr = File.OpenText("localhost.pem");
IPasswordFinder passwordFinder = new PasswordStore("testtest".ToCharArray());
PemReader pemReader = new PemReader(sr, passwordFinder);
Pkcs12Store store = new Pkcs12StoreBuilder().Build();
X509CertificateEntry[] chain = new X509CertificateEntry[1];
AsymmetricCipherKeyPair privKey = null;
object o;
while ((o = pemReader.ReadObject()) != null)
{
if (o is X509Certificate)
{
chain[0] = new X509CertificateEntry((X509Certificate)o);
}
else if (o is AsymmetricCipherKeyPair)
{
privKey = (AsymmetricCipherKeyPair)o;
}
}
store.SetKeyEntry("test", new AsymmetricKeyEntry(privKey.Private), chain);
FileStream p12file = File.Create("localhost.p12");
store.Save(p12file, "testtest".ToCharArray(), new SecureRandom());
p12file.Close();
}
}
class PasswordStore : IPasswordFinder
{
private char[] password;
public PasswordStore(
char[] password)
{
this.password = password;
}
public char[] GetPassword()
{
return (char[])password.Clone();
}
}
}
IPasswordFinder如果您想正确处理证书链,您可能需要一些更微妙的东西。有关更高级的功能,您可以在BouncyCastle 示例中找到更多详细信息。