【Win 10 应用开发】导入.pfx证书

这个功能其实并不常用，一般开发较少涉及到证书，不过，简单了解一下还是有必要的。

先来说说制作测试证书的方法，这里老周讲两种方法，可以生成用于测试的.pfx文件。

产生证书，大家都知道有个makecert工具。好，我们先用这个工具来生成一个证书，并存放到当前用户的证书存储中。打开VS的开发人员命令提示符，然后输入：

makecert -n "CN=中国好男人" -pe -sr CurrentUser -ss My -b // -e //

-n 表示证书的标题名字，在系统的证书管理单元窗口中，它会显示在“颁发给”一列中，即证书是颁给谁的。在本例中，该荣誉证书主要颁发给中国好男人。

-pe 参数一定要加上，它表示我们能否导出证书的密钥（私钥），因为稍后我们要将证书导出为.pfx。

-sr 表示证书是作为用户证书还是本台计算机的证书。用户证书即CurrentUser，只有当前登录的用户可见；如果希望所有用户都可见，可以用LocalMachine，即本台计算机范围的证书。

-ss 表示证书存储目录，MY表示证书将安装到“个人”目录下。

-b -e 表示证书的有效期，这个不用多说。

命令执行完后。打开用户证书管理窗口，展开个人分支，就会看到刚刚创建的证书。

接下来就好办了，直接导出这个证书即可。在导出向导的第二页，记得选择“导出私钥”。

因为.pfx文件是可以包含私钥的。此时，进入下一步，会自动选择个人信息交换。

下面的几个复选项，你可按实际情况来决定，然后下一步，在安全选项页中，勾选密码，然后自己输入密码。

密码可以自己决定，比如我输入弱智密码1234。

接着选择.pfx文件的存放路径。

随后一路下一步，直到完成即可。

上面的方法是通过证书管理窗口来完成的，下面我们再看另一种方法，这种方法是完全用命令来完成的。除了必须的 makecert 工具外，还需要用到 cert2spc 和 pvk2pfx 这两个家伙。从名字上就可以知道它们是干吗的，cert2spc就是把证书文件（.cer）转化为spc文件，而pvk2pfx是将结合私钥文件和spc文件，最终输出.pfx文件。

第1步，产生证书和私钥文件。输入以下命令：

makecert -n "CN=中国好闺女" -pe -b // -e // -sv testkey.pvk test.cer

前面几个参数刚才说过了，-sv 表示密钥文件的名字，后缀名一般为.pvk，即私钥，最后的参数是证书的文件名，后缀是.cer。本命令是直接生成文件，而不是在证书存储区中。

执行后，首先弹出一个输入框，让你为pvk文件创建密码，比如，我依旧用弱智密码1234。

点OK确定后，会再次弹出一个输入框，这一次是要你输入你刚刚创建的密码，比如1234。

确定后，若无意外，证书和私钥文件已经生成，如下图所示。

确定这两个文件成功生成后，进入下一步。

第2步，把cer转为spc，输入命令：

cert2spc test.cer test.spc

第一个参数是待转的cer文件（证书），第二个参数是输出的spc文件。

命令执行后，会多了个test.spc文件。

第3步，利用上面生成的spc和pvk文件，生成pfx文件，输入命令：

pvk2pfx -pvk testkey.pvk -pi  -spc test.spc -pfx test.pfx -po 

-pvk 是刚创建的pvk文件，-pi是pvk文件的密码，刚刚我设置了是1234；

-spc 是刚刚生成的spc文件的名字，-pfx是输出的pfx文件名，-po是新pfx的密码，我改为123456。

命令执行后，会看到多了个.pfx文件。

大功告成，现在，pfx文件已经有了，接下就是在UWP应用中导入证书了。

在干活之前，我们要知道，系统为每个APP创建一个独立的证书存储区，在应用安装时创建，在应用卸载时被删除。因此，每个应用的证书只能自己使用，不能访问其他应用的证书。如果希望让其他应用也能使用证书，就要用“共享用户证书”，被共享的证书会导入到当前系统的用户证书存储区中，所以，其他应用都可以访问，当然了，为了防止别有用心的人乱来，应用只有导入和读取的权限，不能写入和删除证书。

在Windows.Security.Cryptography.Certificates命名空间下，公开了几个与证书操作有关的类。经老周测试，不是所有的API都能用，有些API会发生异常，可能还没有完全实现吧，具体得看今年“红石”更新了，反正Win 10是不断累积更新的，这个道理，8000年前我们的祖先就懂了。

CertificateEnrollmentManager 类公开了N版重载的ImportPfxDataAsync方法，就是支持从.pf文件导入证书。

但是，你得注一个事：如果直接调用 CertificateEnrollmentManager 类的方法，表明导入的证书是存放在应用的独立存储区中，只能自己使用。

如果调用的是 CertificateEnrollmentManager.UserCertificateEnrollmentManager 下面的方法，说明证书是导入到用户存储区中，可以与其他应用共享。

好，下面来看一段导入证书的代码。

            FileOpenPicker picker = new FileOpenPicker();
            picker.FileTypeFilter.Add(".pfx");
            StorageFile pfxFile = await picker.PickSingleFileAsync();
            if (pfxFile != null)
            {
                // 将证书内容转为base64字符串
                IBuffer buffer = await FileIO.ReadBufferAsync(pfxFile);
                string cerB64 = CryptographicBuffer.EncodeToBase64String(buffer);
                // 密码
                string password = pwd.Password;

                // 导入证书
                if (chkUserCert.IsChecked == true)
                {
                    // 导入到当前用户存储
                    await CertificateEnrollmentManager.UserCertificateEnrollmentManager.ImportPfxDataAsync(cerB64, password, ExportOption.Exportable, KeyProtectionLevel.NoConsent, InstallOptions.DeleteExpired, "GoodBoy");
                }
                else
                {
                    // 导入到当前应用存储
                    await CertificateEnrollmentManager.ImportPfxDataAsync(cerB64, password, ExportOption.Exportable, KeyProtectionLevel.ConsentOnly, InstallOptions.DeleteExpired, "GoodBoy");
                }
            }

因为导入方法接收的是证书的base64字符串，所以打开.pfx文件后，要把它转化为base64字符串。

ImportPfxDataAsync方法的第一个参数是证书文件的base64字符串，第二个参数是密码，刚刚在使用pvk2pfx命令时，设置的密码是123456。

ExportOption.Exportable表示私钥可以导出，KeyProtectionLevel.NoConsent表示无需保护私钥，如果使用其他值，在导入时会弹出一个对话框，让用户设置一个密码来保护私钥。

InstallOptions.DeleteExpired表示如果证书过期就删除。

如果要共享用户证书。请打开清单文件，切换到 功能 选项卡，然后勾选“共享用户证书”。XML如下

  <Capabilities>
    ……
    <uap:Capability Name="sharedUserCertificates" />
  </Capabilities>

如果证书导入到当前用户的证书区储中，可以打开用户证书管理窗口，展开“个人”分支，就会看到导入的证书。

好，今天的F话就讲到这里了，天气相当地热，记得多喝水，少喝点有毒饮料。

示例代码下载地址