堆栈内存溢出
  繁体   English   中英

使用来自商店的证书进行RSACryptoServiceProvider

[英]Using certificate from store for RSACryptoServiceProvider

 原文  2016-11-07 17:23:45       c#/ .net/ certificate/ x509certificate/ certificate-store

问题描述

我有来自商店的证书的问题。 在我的应用中,用户可以使用来自文件的证书或来自商店的证书。 加载证书后,我使用证书作为签名数据。

使用文件中的证书是可以的,但我不能使用商店中的等价物。

签名代码: 

// Sign data
using (RSACryptoServiceProvider csp = new RSACryptoServiceProvider())
{
    byte[] dataToSign = Encoding.UTF8.GetBytes(plainText);
    csp.ImportParameters(((RSACryptoServiceProvider)_certPopl.PrivateKey).ExportParameters(true));
    byte[] signature = csp.SignData(dataToSign, "SHA256");
    // Verify signature
    if (!csp.VerifyData(dataToSign, "SHA256", signature))
        throw new Exception("Nepodařilo se vytvořit platný podpisový kód poplatníka.");
    PKP = Convert.ToBase64String(signature);
}

从文件中读取证书的代码: 

X509Certificate2Collection certStore = new X509Certificate2Collection();
certStore.Import(fileName, password, X509KeyStorageFlags.Exportable);
foreach (X509Certificate2 cert in certStore)
{
    // Find the first certificate with a private key
    if (cert.HasPrivateKey)
    {
        _certPopl = cert;
        break;
    }
}

从商店读取证书的代码。 从商店加载证书后,我无法签署数据: 

public void LoadCertificate(string certificateName, DateTime notAfter, string password)
{
    var store = new X509Store(StoreName.My, StoreLocation.CurrentUser);
    store.Open(OpenFlags.MaxAllowed);
    foreach (var certificate in store.Certificates)
    {
        if (certificate.FriendlyName.Equals(certificateName) && certificate.NotAfter.Equals(notAfter))
        {
            //X509Certificate2Collection certStore = new X509Certificate2Collection();
            //certStore.Import(certificate.Export(X509ContentType.SerializedCert), password, X509KeyStorageFlags.Exportable);
            //_certPopl = certStore[0];

            X509Certificate2Collection certStore = new X509Certificate2Collection();
            certStore.Import(certificate.GetRawCertData());
            foreach (X509Certificate2 cert in certStore)
            {
                // Find the first certificate with a private key
                if (cert.HasPrivateKey)
                {
                    _certPopl = cert;
                    break;
                }
            }

            break;
        }
    }
}

我没有使用证书的经验。 但我需要相当于从商店获取证书进行签名。

ExportParameters(true)上抛出System.Security.Cryptography.CryptographicException。 异常的附加信息:密钥无法在指定状态下使用。

谢谢。

3 个解决方案

解决方案1
 3  2016-11-08 17:40:12

如果您可以使用.NET 4.6,则更简单,访问私钥的新方法对于SHA-2签名更加可靠: 

using (RSA rsa = cert.GetRSAPrivateKey())
{
    if (rsa == null)
    {
        throw new Exception("Wasn't an RSA key, or no private key was present");
    }

    bool isValid = rsa.VerifyData(
        Encoding.UTF8.GetBytes(plainText),
        signature,
        HashAlgorithmName.SHA256,
        RSASignaturePadding.Pkcs1);

    if (!isValid)
    {
        throw new Exception("VerifyData failed");
    }
}

解决方案2
 0  2016-11-07 18:12:50

我不清楚为什么要尝试导出CSP参数。 CSP参数导出取决于密钥导出选项,如果密钥不可导出,则会失败。 相反,您应该直接在X509Certificate2对象的PrivateKey属性上使用RSACryptoServiceProvider 

// assuming, you have X509Certificate2 object with existing private key in _certPol variable
// retrieve private key
var key = _certPol.PrivateKey as RSACryptoServiceProvider;
// check if it is legacy RSA, otherwise return.
if (key == null) { return; }
byte[] dataToSign = Encoding.UTF8.GetBytes(plainText);
// sign data
byte[] signature = key.SignData(dataToSign, "SHA256");
// Verify signature
if (!key.VerifyData(dataToSign, "SHA256", signature))
    throw new Exception("Nepodařilo se vytvořit platný podpisový kód poplatníka.");
...

解决方案3
 0  2016-11-08 14:05:23

工作状态是:

从商店加载证书: 

var store = new X509Store(StoreName.My, StoreLocation.CurrentUser);
try
{
    store.Open(OpenFlags.ReadOnly);
    foreach (var certificate in store.Certificates)
    {
        if (certificate.FriendlyName.Equals(certificateName) && certificate.NotAfter.Equals(notAfter))
        {
            _certPopl = certificate;
            break;
        }
    }
}
finally
{
    store.Close();
}

签署并验证数据: 

byte[] dataToSign = Encoding.UTF8.GetBytes(plainText);
var privKey = (RSACryptoServiceProvider)_certPopl.PrivateKey;
// Force use of the Enhanced RSA and AES Cryptographic Provider with openssl-generated SHA256 keys
var enhCsp = new RSACryptoServiceProvider().CspKeyContainerInfo;
var cspparams = new CspParameters(enhCsp.ProviderType, enhCsp.ProviderName, privKey.CspKeyContainerInfo.KeyContainerName);
privKey = new RSACryptoServiceProvider(cspparams);
byte[] signature = privKey.SignData(dataToSign, "SHA256");
// Verify signature
if (!privKey.VerifyData(dataToSign, "SHA256", signature))
    throw new Exception("Nepodařilo se vytvořit platný podpisový kód poplatníka.");

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 从公钥(不是证书)构造RSACryptoServiceProvider C#从公共证书密钥(字符串)创建RSACryptoServiceProvider 从 x509Certificate2 启动 RSACryptoServiceProvider 的最佳方式? 使用RSACryptoServiceProvider使用过期的证书加密/解密数据没有错误 验证Google idToken-使用RSACryptoServiceProvider的证书验证失败 使用 RSACryptoServiceProvider 从 SignedInfo 计算 SignatureValue 使用不在证书库中的客户端证书 在 AzureFunction 上使用 RSACryptoServiceProvider 从RSACryptoServiceProvider创建X509Certificate2失败,并找不到所需的对象 从X509Certificate2构造RSACryptoServiceProvider,而无需发出LDAP请求
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM