0

我们有一个运行了一年的 Azure 函数 (.NET 4.7.2),它使用客户端证书将消息发送到 Web 服务。必须更新此证书,但现在我们已经完成,发送消息时收到此异常;

System.Security.Cryptography.CryptographicException: Invalid provider type specified.

Azure 在读取私钥时遇到问题,问题似乎是从我的本地计算机导出它。这个问题会不会源于最初的 CSR?只要有效,以前的证书仍然可以正常工作。请注意,我可以使用本地计算机上的新证书发送消息。我尝试过的事情;

  • 使用 MMC 设置的所有组合导出 .pfx 文件
  • 使用https://stackoverflow.com/a/34103154/6033193中的答案将证书密钥转换为 RSA 格式并上传新生成的 .pfx
  • CertUtil.exe -store -user my用于比较新旧证书。他们都有提供者 Microsoft Enhanced Cryptographic Provider v1.0,除了散列和名称之外,看起来都一样。
  • 从设置中删除 Azure Key Vault 并将 pfx 直接上传到应用服务
  • 从本地文件夹中读取 .pfx 并像这样使用它new X509Certificate2(certByes, "password", X509KeyStorageFlags.PersistKeySet);:这很有效,因此在将 .pfx 文件上传到 Azure 门户时似乎出现了问题。

还有什么我可以尝试的吗?

4

1 回答 1

0

为旧证书工作的提供程序不再适用于新证书。我有预感加密有问题,因为包属性不包含 LocalKeyID 信息,但我不能肯定地说。

无论如何,将提供程序更改为“Microsoft 平台加密提供程序”可以在 Azure 中访问私钥。使用 OpenSSL:

首先从 .pfx 文件中导出 .key 和公共 .pem 部分;

openssl pkcs12 -in cert.pfx -out cert_publicpart.pem -nokeys
openssl pkcs12 -in cert.pfx -out cert_privatekey.key -nocerts

如果它是加密的,它会在每个命令后询问您的密码。

然后,将其转换回指定提供程序的 .pfx;

openssl pkcs12 -export -in cert_publicpart.pem -inkey cert_privatekey.key -out cert_newCSP.pfx -CSP "Microsoft Platform Crypto Provider"

同样,指定一个密码,新的 .pfx 就可以使用了!

可选,如果您想验证 CSP:

openssl pkcs12 -in "cert_newCSP.pfx" -out "cert_newCSP.pem"

打开 .pem 文件,在其上方找到-----BEGIN ENCRYPTED PRIVATE KEY-----并查找。Microsoft CSP Name: Microsoft Platform Crypto Provider

于 2021-10-08T07:57:45.733 回答