对于在 .NET 中使用 sn.exe 对程序集进行签名,是否可以指定一个公钥,其私钥仅包含在 Windows CryptoAPI 密钥库中?
我看到了用于指定 CSP 名称和容器名称的选项。
是否有用于访问 Windows 证书的值?(即那些可从 Windows EFS、Outlook、Internet Explorer 等访问的)
谢谢你。
评论:具体来说,我之所以这样问,是因为有一些密钥没有将私钥标记为可导出,因此我无法导出 .pfx 并遵循该路线。
问问题
889 次
1 回答
-1
这周结束时我也有同样的问题。
是的,它可以配置为使用 Windows 证书存储区,如果你真的有安全意识,你绝对应该这样做。这使得意外泄露私钥变得非常困难(如果你使用像 Yubikey 这样的智能卡,就不可能泄露私钥——操作系统永远不会看到它)。
我在博客上的帖子中记录了如何以两种 不同但相关的方式做到这一点。
如果您只是使用个人证书存储中的证书,而不使用智能卡,则相对容易。
在 PowerShell 中,您需要获取证书的详细信息:
Set-Location "cert:\Path\To\Your\Certificate"
# Usually "cert:\CurrentUser\My" is what you want
$cert=Get-Item ".\(your-certificate-thumbprint)"
您需要确定用于访问该密钥容器的密钥容器名称和 CSP(如果它不是智能卡,则默认 CSP 有效)
$cert=Get-Item .\(ThumbprintOfYourKey)
$cert.PrivateKey.CspKeyContainerInfo | fl *
这将产生类似于以下内容:
MachineKeyStore : False
ProviderName : Microsoft Base Smart Card Crypto Provider
ProviderType : 1
KeyContainerName : c0f031c2-0b5e-171b-d552-fab7345fc10a
UniqueKeyContainerName : c0f031c2-0b5e-171b-d552-fab7345fc10a
KeyNumber : Signature
Exportable : False
HardwareDevice : True
Removable : True
Accessible : True
Protected : True
CryptoKeySecurity : System.Security.AccessControl.CryptoKeySecurity
RandomlyGenerated : False
就我而言,我使用的是 Yubikey,因此 CSP 是“Microsoft Base Smart Card Crypto Provider”。这意味着为了对我的代码进行强名称签名,我需要运行:
sn.exe -c "Microsoft Base Smart Card Crypto Provider"
在我构建之前的某个时间点(只需一次,它不需要每次构建都运行,但是我已经链接到一些脚本来帮助解决这个问题的第二篇文章)。
这里有两个选项:您告诉 sn.exe 创建一个仅包含公钥的密钥并使用该密钥延迟签名(选中项目属性中“签名”选项卡底部的框),然后发布build, sign usingsn.exe -Rc "your-container-name" "key.snk"或者你可以使用简单的方法:AssemblyKeyNameAttribute在AssemblyInfo.cs文件中如下:
[assembly: AssemblyKeyNameAttribute("Your Key Container Name")]
编译器将为您处理所有其他事情。请记住,在尝试构建sn.exe -c 之前,您需要确保您的 CSP 已设置为使用,否则您将在构建时收到Keyset not found错误(以及您的密钥容器的名称)。
于 2017-09-17T23:14:37.783 回答