1

我正在开发一个 API 服务器,它将从用户那里获取以下信息

"CN=ABC123,O=DEF,L=XYZ,S=CA,C=US,E=info@abc.com"

并使用我们的根证书创建一个签名的开发者证书。为了使用我制作证书,makecert.exe我遵循使用 makecert.exe 创建自签名证书进行开发教程并使用以下命令创建根证书

makecert.exe ^
-n "CN=CARoot" ^
-r ^
-pe ^
-a sha512 ^
-len 4096 ^
-cy authority ^
-sv CARoot.pvk ^
CARoot.cer

pvk2pfx.exe ^
-pvk CARoot.pvk ^
-spc CARoot.cer ^
-pfx CARoot.pfx ^
-po Test123

在命令提示符下,它会在提示弹出窗口中询问证书和 private.key 密码,这很好,因为这是一次性过程,我已经手动完成了

至于我用过的开发者证书

Process.Start("makecert.exe",certCmd);

以下内容certCmdstring

makecert.exe ^
-n "CN=%1" ^
-iv CARoot.pvk ^
-ic CARoot.cer ^
-pe ^
-a sha512 ^
-len 4096 ^
-b 01/01/2014 ^
-e 01/01/2016 ^
-sky exchange ^
-eku 1.3.6.1.5.5.7.3.2 ^
-sv %1.pvk ^
%1.cer

pvk2pfx.exe ^
-pvk %1.pvk ^
-spc %1.cer ^
-pfx %1.pfx ^
-po Test123

现在根据文档,上面的命令中没有给出任何-po参数,因此它在提示中要求输入密码,这是一个问题

因为这是一个 API,所以无法在私钥提示中输入密码

另一种选择是使用但不确定如何使用它们,任何帮助都会很X509Certificate2明显bouncyCastle

我想让它尽可能简单,这就是我选择的makecert.exe原因Process.Start()

4

3 回答 3

2

如果您想生成自己的证书...我过去曾使用此代码即时生成证书。您需要根据您的解决方案对其进行调整,但它应该为您提供所需的一切。它使用充气城堡。

public static X509Certificate GenerateRootCertificate(AsymmetricCipherKeyPair key, X509Name subjectAndIssuer, int serialNumber, int yearsValid)
    {
        X509V3CertificateGenerator gen = new X509V3CertificateGenerator();
        Asn1SignatureFactory sig = new Asn1SignatureFactory("SHA256withRSA", key.Private, new SecureRandom());
        DateTime notBefore = DateTime.Now;
        DateTime notAfter = DateTime.Now.AddYears(yearsValid);

        gen.SetSerialNumber(BigInteger.ValueOf(serialNumber));
        gen.SetSubjectDN(subjectAndIssuer);
        gen.SetIssuerDN(subjectAndIssuer);
        gen.SetPublicKey(key.Public);

        gen.AddExtension(X509Extensions.BasicConstraints, true, new BasicConstraints(true));
        gen.AddExtension(X509Extensions.KeyUsage, true, new KeyUsage(KeyUsage.DigitalSignature | KeyUsage.CrlSign | KeyUsage.KeyCertSign));
        gen.AddExtension(X509Extensions.SubjectKeyIdentifier, false, new SubjectKeyIdentifierStructure(key.Public));
        gen.AddExtension(X509Extensions.AuthorityKeyIdentifier, false, new AuthorityKeyIdentifierStructure(key.Public));

        gen.SetNotBefore(notBefore);
        gen.SetNotAfter(notAfter);

        return gen.Generate(sig);
    }

这可能是一个更好的方法,最终给你更多的控制权。

编辑:您可以使用此方法检索您的公钥和私钥,因为它是 PEM 格式:

public static object ReadObjectFromPEMFile(string fileName)
        {
            PemReader reader = new PemReader(new StreamReader(File.Open(fileName, FileMode.Open)));
            object r = reader.ReadObject();
            reader.Reader.Close();
            return r;
        }

不要忘记将结果转换为AsymmetricCipherKeyPair

于 2016-05-04T06:06:30.787 回答
1

我同意@LukeParks 的回答,您应该在自己的代码中完成所有这些操作,但如果您仍想按照当前的方式进行操作,请按照以下方式进行:

您可以重定向 makecert 进程的 StandardInput 以将输入直接传递给程序。

ProcessStartInfo procInf = new ProcessStartInfo("makecert.exe",certCmd)
{
    RedirectStandardOutput = true,
    RedirectStandardInput = true,
    RedirectStandardError = true,
    UseShellExecute = false,
    CreateNoWindow = true
};

Process makeCertProcess = Process.Start(procInf);

//Here is the "manual" input (timing doesn't matter)
pscp.StandardInput.WriteLine("password or whatever");

pscp.WaitForExit(TimeOut);

string errors = pscp.StandardError.ReadToEnd();
string output = pscp.StandardOutput.ReadToEnd();
int errorcode = pscp.ExitCode;
于 2016-05-04T06:13:04.860 回答
0

前段时间我回答了一个非常相似的问题。当时的问题是

即时生成自签名证书

但后来问题被修改为使用生成的 CA 证书颁发最终实体证书。嗯,看来我改了GenerateSelfSignedCertificate之后没有重命名方法。它应该被命名GenerateEndEntityCertificate,因为它就是这样做的。

尝试在这里查看我的答案

于 2016-05-04T08:17:42.370 回答