Не удается получить доступ к закрытому ключу через код для .NET, сгенерированного сертификатом, но может с открытым серт

Не удается получить доступ к закрытому ключу через код для .NET, сгенерированного сертификатом, но может с открытым серт ⇐ C#

1 сообщение • Страница 1 из 1

Anonymous

Не удается получить доступ к закрытому ключу через код для .NET, сгенерированного сертификатом, но может с открытым серт

Цитата

Сообщение Anonymous » 23 апр 2025, 19:20

Я хочу иметь возможность генерировать сертификаты CA Root и сервера с использованием .NET. Конечная цель состоит в том, чтобы использовать их для обеспечения межсервисных GRPC Comms, но сейчас все работает локально. OpenSSL, все работает так, как и ожидалось, включая локальную службу GRPC .NET. Я думаю, что это связано с тем, что по какой -то причине код .NET не может получить доступ к частному ключу, хотя IIS может.
В следующем фрагменте кода, пытаясь получить доступ к PrivateKey для .NET, сгенерированного сертификационными бросками. />public void ReadDifferentCerts()
{
var store = new X509Store(StoreName.My, StoreLocation.LocalMachine);
store.Open(OpenFlags.ReadOnly);

var certs = store.Certificates.Find(X509FindType.FindBySubjectName, "MyMachine", false);

var dotNetCert = certs.Find(X509FindType.FindByIssuerName, "DotNetRootCA", false).First();
var openSslCert = certs.Find(X509FindType.FindByIssuerName, "OpenSSLRootCA", false).First();
}

Многие решения по этому вопросу вращаются вокруг разрешений к ключу, и я могу получить доступ к ключу, если я импортирую файл PFX в хранилище текущего пользователя, Но мои вопросы:
, как отличается версия OpenSSL? Какой флаг мне нужно установить в версии .NET? Насколько я могу сделать, все параметры одинаковы, они выглядят почти идентично в магазине. Частный ключ 100% существует в файле PFX, поскольку IIS может использовать его, а один и тот же файл работает в текущем хранилище пользователя.public void GenerateAndWriteToDisk()
{
var rootCA = BuildRootCertificate();

Thread.Sleep(TimeSpan.FromSeconds(2));

var serverCert = BuildServerCertificate(rootCA);

var outputdir = @"C:\dev\certs";
File.WriteAllBytes(Path.Combine(outputdir, "DotNetRootCACert.crt"), rootCA.Export(X509ContentType.Cert));
File.WriteAllBytes(Path.Combine(outputdir, "LAPTOP-80-DotNet.pfx"), serverCert.Export(X509ContentType.Pfx, "word"));
}

public static X509Certificate2 BuildRootCertificate()
{
using (var rsa = RSA.Create(3072))
{
var request = new CertificateRequest("C=GB,O=MyCompany,CN=DotNetRootCA", rsa, HashAlgorithmName.SHA256,
RSASignaturePadding.Pkcs1);
var subjectIdentifier = new X509SubjectKeyIdentifierExtension(new PublicKey(rsa), false);
request.CertificateExtensions.Add(subjectIdentifier);
request.CertificateExtensions.Add(X509AuthorityKeyIdentifierExtension.CreateFromSubjectKeyIdentifier(subjectIdentifier));
request.CertificateExtensions.Add(new X509BasicConstraintsExtension(true, false, 0, true));

var cert = request.CreateSelfSigned(DateTimeOffset.Now,
DateTimeOffset.Now.AddDays(1825));
return cert;
}
}

public static X509Certificate2 BuildServerCertificate(X509Certificate2 rootCaCertificate)
{
using (var rsa = RSA.Create(3072))
{
var request = new CertificateRequest("O=MyCompany,OU=DevSecOps,CN=MyMachine", rsa, HashAlgorithmName.SHA256,
RSASignaturePadding.Pkcs1);

request.CertificateExtensions.Add(X509AuthorityKeyIdentifierExtension.CreateFromCertificate(rootCaCertificate, true, false));
request.CertificateExtensions.Add(new X509SubjectKeyIdentifierExtension(new PublicKey(rsa), false));
request.CertificateExtensions.Add(new X509BasicConstraintsExtension(false, false,
0, false));

var keyUsages = new X509KeyUsageExtension(
X509KeyUsageFlags.DataEncipherment | X509KeyUsageFlags.KeyEncipherment |
X509KeyUsageFlags.DigitalSignature, false);
request.CertificateExtensions.Add(keyUsages);

var sanBuilder = new SubjectAlternativeNameBuilder();
sanBuilder.AddDnsName("MyMachine");
sanBuilder.AddDnsName("localhost");
sanBuilder.AddIpAddress(IPAddress.Loopback);
sanBuilder.AddIpAddress(IPAddress.IPv6Loopback);

request.CertificateExtensions.Add(sanBuilder.Build());

var serialNumber = GetSerialNumber();

var certificate = request.Create(rootCaCertificate, DateTimeOffset.UtcNow,
DateTimeOffset.UtcNow.AddDays(365), serialNumber);

return certificate.CopyWithPrivateKey(rsa);
}
}
< /code>
powerShell /openssl Generation < /p>
function ExecOpenSsl([string]$sslArgs)
{
$pinfo = New-Object System.Diagnostics.ProcessStartInfo
$pinfo.FileName = "openssl"
$pinfo.RedirectStandardError = $true
$pinfo.RedirectStandardOutput = $true
$pinfo.UseShellExecute = $false
$pinfo.CreateNoWindow = $true
$pinfo.Arguments = $sslArgs
$p = New-Object System.Diagnostics.Process
$p.StartInfo = $pinfo
$p.Start() | Out-Null
$p.WaitForExit()
$stdout = $p.StandardOutput.ReadToEnd()
$stderr = $p.StandardError.ReadToEnd()
Write-Host "stdout: $stdout"
Write-Host "stderr: $stderr"
Write-Host "exit code: " + $p.ExitCode
}

$dir = 'C:\dev\certs'
$caKeyName = "$dir\OpenSslRootCaKey.key"
$caCertName = "$dir\OpenSSlRootCaCert.crt"
$serverKeyName = "$dir\OpenSslServerKey.key"
$serverCsr = "$dir\OpenSslServerReq.csr"
$serverExtension = "$dir\OpenSslServerExtensions.ext"
$serverCert = "$dir\LAPTOP-80-OpenSsl.crt"
$serverPfx = "$dir\LAPTOP-80-OpenSsl.pfx"

Set-Location $dir

$caPass = 'word' # (New-Guid).ToString()
$serverPass = 'word' #(New-Guid).ToString()

ExecOpenSsl -sslArgs "genrsa -aes128 -passout pass:$($caPass) -out $caKeyName 3072"

ExecOpenSsl -sslArgs "req -x509 -new -nodes -key $caKeyName -sha256 -days 1825 -out $caCertName -subj /CN=OpenSSLRootCA/O=MyCompany/C=GB/ -passin pass:$($caPass)"

ExecOpenSsl -sslArgs "genrsa -aes128 -passout pass:$($serverPass) -out $serverKeyName 3072"

$extension=@(
"authorityKeyIdentifier=keyid,issuer"
"basicConstraints=CA:FALSE"
"keyUsage = digitalSignature, keyEncipherment, dataEncipherment"
"subjectAltName = @alt_names"
""
"[alt_names]"
"DNS.1 = MyMachine"
"DNS.2 = localhost"
"IP.1 = 127.0.0.1"
"IP.2 = ::1"
)

Set-Content -Path $serverExtension -Value ($extension -join ([Environment]::NewLine)) -NoNewline

ExecOpenSsl -sslArgs "req -new -key $serverKeyName -passin pass:$($serverPass) -out $serverCsr -subj /CN=MyMachine/OU=DevSecOps/O=MyCompany/"

ExecOpenSsl -sslArgs "x509 -req -in $serverCsr -CA $caCertName -CAkey $caKeyName -passin pass:$($caPass) -CAcreateserial -out $serverCert -days 365 -sha256 -extfile $serverExtension"

ExecOpenSsl -sslArgs "pkcs12 -export -out $serverPfx -inkey $serverKeyName -in $serverCert -passin pass:$($serverPass) -passout pass:$($serverPass)"

Подробнее здесь: https://stackoverflow.com/questions/795 ... t-can-with

1745425211

Anonymous

 Я хочу иметь возможность генерировать сертификаты CA Root и сервера с использованием .NET. Конечная цель состоит в том, чтобы использовать их для обеспечения межсервисных GRPC Comms, но сейчас все работает локально. OpenSSL, все работает так, как и ожидалось, включая локальную службу GRPC .NET. Я думаю, что это связано с тем, что по какой -то причине код .NET не может получить доступ к частному ключу, хотя IIS может. 
В следующем фрагменте кода, пытаясь получить доступ к PrivateKey  для .NET, сгенерированного сертификационными бросками. />public void ReadDifferentCerts()
{
var store = new X509Store(StoreName.My, StoreLocation.LocalMachine);
store.Open(OpenFlags.ReadOnly);

var certs = store.Certificates.Find(X509FindType.FindBySubjectName, "MyMachine", false);

var dotNetCert = certs.Find(X509FindType.FindByIssuerName, "DotNetRootCA", false).First();
var openSslCert = certs.Find(X509FindType.FindByIssuerName, "OpenSSLRootCA", false).First();
}

Многие решения по этому вопросу вращаются вокруг разрешений к ключу, и я могу получить доступ к ключу, если я импортирую файл PFX в хранилище текущего пользователя,  Но  мои вопросы: 
, как отличается версия OpenSSL? Какой флаг мне нужно установить в версии .NET? Насколько я могу сделать, все параметры одинаковы, они выглядят почти идентично в магазине.  Частный ключ 100% существует в файле PFX, поскольку IIS может использовать его, а один и тот же файл работает в текущем хранилище пользователя.public void GenerateAndWriteToDisk()
{
var rootCA = BuildRootCertificate();

Thread.Sleep(TimeSpan.FromSeconds(2));

var serverCert = BuildServerCertificate(rootCA);

var outputdir = @"C:\dev\certs";
File.WriteAllBytes(Path.Combine(outputdir, "DotNetRootCACert.crt"), rootCA.Export(X509ContentType.Cert));
File.WriteAllBytes(Path.Combine(outputdir, "LAPTOP-80-DotNet.pfx"), serverCert.Export(X509ContentType.Pfx, "word"));
}

public static X509Certificate2 BuildRootCertificate()
{
using (var rsa = RSA.Create(3072))
{
var request = new CertificateRequest("C=GB,O=MyCompany,CN=DotNetRootCA", rsa, HashAlgorithmName.SHA256,
RSASignaturePadding.Pkcs1);
var subjectIdentifier = new X509SubjectKeyIdentifierExtension(new PublicKey(rsa), false);
request.CertificateExtensions.Add(subjectIdentifier);
request.CertificateExtensions.Add(X509AuthorityKeyIdentifierExtension.CreateFromSubjectKeyIdentifier(subjectIdentifier));
request.CertificateExtensions.Add(new X509BasicConstraintsExtension(true, false, 0, true));

var cert = request.CreateSelfSigned(DateTimeOffset.Now,
DateTimeOffset.Now.AddDays(1825));
return cert;
}
}

public static X509Certificate2 BuildServerCertificate(X509Certificate2 rootCaCertificate)
{
using (var rsa = RSA.Create(3072))
{
var request = new CertificateRequest("O=MyCompany,OU=DevSecOps,CN=MyMachine", rsa, HashAlgorithmName.SHA256,
RSASignaturePadding.Pkcs1);

request.CertificateExtensions.Add(X509AuthorityKeyIdentifierExtension.CreateFromCertificate(rootCaCertificate, true, false));
request.CertificateExtensions.Add(new X509SubjectKeyIdentifierExtension(new PublicKey(rsa), false));
request.CertificateExtensions.Add(new X509BasicConstraintsExtension(false, false,
0, false));

var keyUsages = new X509KeyUsageExtension(
X509KeyUsageFlags.DataEncipherment | X509KeyUsageFlags.KeyEncipherment |
X509KeyUsageFlags.DigitalSignature, false);
request.CertificateExtensions.Add(keyUsages);

var sanBuilder = new SubjectAlternativeNameBuilder();
sanBuilder.AddDnsName("MyMachine");
sanBuilder.AddDnsName("localhost");
sanBuilder.AddIpAddress(IPAddress.Loopback);
sanBuilder.AddIpAddress(IPAddress.IPv6Loopback);

request.CertificateExtensions.Add(sanBuilder.Build());

var serialNumber = GetSerialNumber();

var certificate = request.Create(rootCaCertificate, DateTimeOffset.UtcNow,
DateTimeOffset.UtcNow.AddDays(365), serialNumber);

return certificate.CopyWithPrivateKey(rsa);
}
}
< /code>
powerShell /openssl Generation < /p>
 function ExecOpenSsl([string]$sslArgs)
{
$pinfo = New-Object System.Diagnostics.ProcessStartInfo
$pinfo.FileName = "openssl"
$pinfo.RedirectStandardError = $true
$pinfo.RedirectStandardOutput = $true
$pinfo.UseShellExecute = $false
$pinfo.CreateNoWindow = $true
$pinfo.Arguments = $sslArgs
$p = New-Object System.Diagnostics.Process
$p.StartInfo = $pinfo
$p.Start() | Out-Null
$p.WaitForExit()
$stdout = $p.StandardOutput.ReadToEnd()
$stderr = $p.StandardError.ReadToEnd()
Write-Host "stdout: $stdout"
Write-Host "stderr: $stderr"
Write-Host "exit code: "  + $p.ExitCode
}

$dir = 'C:\dev\certs'
$caKeyName = "$dir\OpenSslRootCaKey.key"
$caCertName = "$dir\OpenSSlRootCaCert.crt"
$serverKeyName = "$dir\OpenSslServerKey.key"
$serverCsr = "$dir\OpenSslServerReq.csr"
$serverExtension = "$dir\OpenSslServerExtensions.ext"
$serverCert = "$dir\LAPTOP-80-OpenSsl.crt"
$serverPfx = "$dir\LAPTOP-80-OpenSsl.pfx"

Set-Location $dir

$caPass = 'word'  # (New-Guid).ToString()
$serverPass = 'word' #(New-Guid).ToString()

ExecOpenSsl -sslArgs "genrsa -aes128 -passout pass:$($caPass) -out $caKeyName 3072"

ExecOpenSsl -sslArgs "req -x509 -new -nodes -key $caKeyName -sha256 -days 1825 -out $caCertName -subj /CN=OpenSSLRootCA/O=MyCompany/C=GB/ -passin pass:$($caPass)"

ExecOpenSsl -sslArgs "genrsa -aes128 -passout pass:$($serverPass) -out $serverKeyName 3072"

$extension=@(
"authorityKeyIdentifier=keyid,issuer"
"basicConstraints=CA:FALSE"
"keyUsage = digitalSignature, keyEncipherment, dataEncipherment"
"subjectAltName = @alt_names"
""
"[alt_names]"
"DNS.1 = MyMachine"
"DNS.2 = localhost"
"IP.1 = 127.0.0.1"
"IP.2 = ::1"
)

Set-Content -Path $serverExtension -Value ($extension -join ([Environment]::NewLine))  -NoNewline

ExecOpenSsl -sslArgs "req -new -key $serverKeyName -passin pass:$($serverPass) -out $serverCsr -subj /CN=MyMachine/OU=DevSecOps/O=MyCompany/"

ExecOpenSsl -sslArgs "x509 -req -in $serverCsr -CA $caCertName -CAkey $caKeyName -passin pass:$($caPass) -CAcreateserial -out $serverCert -days 365 -sha256 -extfile $serverExtension"

ExecOpenSsl -sslArgs "pkcs12 -export -out $serverPfx -inkey $serverKeyName -in $serverCert -passin pass:$($serverPass) -passout pass:$($serverPass)"
 

Подробнее здесь: [url]https://stackoverflow.com/questions/79588967/cannot-access-private-key-via-code-for-net-generated-certificate-but-can-with[/url]

Ответить Пред. тема След. тема

1 сообщение • Страница 1 из 1

Быстрый ответ

Заголовок:

Имя пользователя:

Изменение регистра текста:

Смайлики

Ещё смайлики…

К этому ответу прикреплено по крайней мере одно вложение.

Если вы не хотите добавлять вложения, оставьте поля пустыми. Можно прикреплять файлы, перетаскивая их в окно сообщения.

Максимально разрешённый размер вложения: 15 МБ.

Имя файла:

Комментарий к файлу:

Имя файла	Комментарий к файлу	Размер	Статус

Похожие темы

Ответы

Просмотры

Последнее сообщение

Не удается получить доступ к закрытому ключу через код для .NET, сгенерированного сертификатом, но может с открытым серт

Последнее сообщение Anonymous « 23 апр 2025, 18:55
Добавлено в форуме C#

Anonymous » 23 апр 2025, 18:55 » в форуме C#

Я хочу иметь возможность генерировать сертификаты CA Root и сервера с использованием .NET. Конечная цель состоит в том, чтобы использовать их для обеспечения межсервисных GRPC Comms, но сейчас все работает локально. OpenSSL, все работает так, как и...

0 Ответы

8 Просмотры

Последнее сообщение Anonymous
23 апр 2025, 18:55
Как подключить JDBC-снежинку с аутентификацией по закрытому ключу с использованием XML-файла конфигурации загрузки Sprin

Последнее сообщение Anonymous « 08 май 2024, 20:30
Добавлено в форуме JAVA

Anonymous » 08 май 2024, 20:30 » в форуме JAVA

Я попробовал использовать пул соединений HikariCP для подключения Snowflake с помощью JDBC. Я использую XML-файл конфигурации Spring Boot для создания bean-компонента. У меня есть закрытый ключ для аутентификации. Итак, я попробовал следующее:
Файл...

0 Ответы

16 Просмотры

Последнее сообщение Anonymous
08 май 2024, 20:30
Android: В чем разница между сертификатом подписи приложения и сертификатом загрузки?

Последнее сообщение Гость « 04 мар 2024, 18:50
Добавлено в форуме Android

Гость » 04 мар 2024, 18:50 » в форуме Android

What is the difference between app signing certificate and upload certificate? I am having trouble with integrating Google Play Games with my app (I posted about this as another question) and I noticed that the one that is used for client Id that is...

0 Ответы

54 Просмотры

Последнее сообщение Гость
04 мар 2024, 18:50
Проблемы с сертификатом SSL с сертификатом, сгенерированным сценарием Python и используемым в Mosquitto

Последнее сообщение Anonymous « 25 фев 2025, 20:40
Добавлено в форуме Python

Anonymous » 25 фев 2025, 20:40 » в форуме Python

Я пытаюсь использовать SSL с комаром. # This script will generate a CA's private key and self-signed certificate,
# a server's private key and CSR, and finally, a server's certificate signed by the CA.
# You can then use these certificates for...

0 Ответы

32 Просмотры

Последнее сообщение Anonymous
25 фев 2025, 20:40
Исключение в приложении .Net MAUI: «System.ObjectDisposeException: невозможно получить доступ к закрытому потоку» на And

Последнее сообщение Anonymous « 04 мар 2024, 10:57
Добавлено в форуме C#

Anonymous » 04 мар 2024, 10:57 » в форуме C#

I am currently developing a .Net MAUI application where I am making an HTTP call using a specific function. The peculiar issue I am facing is that the function works perfectly fine on Windows, but when I attempt to execute it on Android, it throws...

0 Ответы

34 Просмотры

Последнее сообщение Anonymous
04 мар 2024, 10:57

Вернуться в «C#»