前言

这篇主要是说如何用 ASP.NET Core 读写系统里的证书 Store 和创建一个证书, 还有使用证书做加密, 解密, 签名.

主要参考:

C#数字证书编程总结 (读写证书 Store)

Encryption and signing credentials (创建证书)

Git Bash 创建证书

PowerShell 创建证书

X.509 Store and Create

using var store = new X509Store(StoreName.My, StoreLocation.CurrentUser); // 也可以从 LocalMachine 拿
store.Open(OpenFlags.ReadWrite); // 如果只是要读, 可以放 ReadOnly
// 查找
// var certificates = store.Certificates.Find(
// X509FindType.FindBySubjectName,
// findValue: "jbreviews.com.my",
// validOnly: false // validOnly 可以检查 expired 和 是否 under root 证书 (self sign 的通常不 under root)
// );
// 遍历
foreach (var certificate in store.Certificates)
{ }
// 制作 certificate
using var algorithm = RSA.Create(keySizeInBits: 2048);
var subject = new X500DistinguishedName($"CN=My signing certification");
var request = new CertificateRequest(subject, algorithm, HashAlgorithmName.SHA256, RSASignaturePadding.Pkcs1);
// X509KeyUsageFlags.DigitalSignature for 签名, X509KeyUsageFlags.KeyEncipherment for 加密
request.CertificateExtensions.Add(new X509KeyUsageExtension(X509KeyUsageFlags.DigitalSignature, critical: true));
var newCertificate = request.CreateSelfSigned(
notBefore: DateTimeOffset.UtcNow,
notAfter: DateTimeOffset.UtcNow.AddYears(1)
);
var rowData = newCertificate.Export(X509ContentType.Pfx, "password"); // 添加私钥的保护密码, 因为我们要 store 起来所以需要一个保护密码
newCertificate = new X509Certificate2(rowData, "password", X509KeyStorageFlags.Exportable);
// 添加新的 cert
store.Add(newCertificate);

注意: 要写入 store 的 permission 需要是 admin 等级. 一般上在 production server 是做不到的.

参考: ASP.NET Core app within aspnet:3.1-nanoserver-1809 gets Access Denied on X509Store.Add()

解决方法是 manual import certificate, 设置 OpenFlags.ReadOnly 就好.

然后把做好的 certificate export 成 .pfx, 记得要配置 X509KeyStorageFlags.Exportable 才可以 export 哦.

var certificateBytes = certificate.Export(X509ContentType.Pfx, password);
System.IO.File.WriteAllBytes("Certificate.pfx", certificateBytes);

然后双击一直 next 就可以了.

疑难杂症 in Azure VM

在 production server (Azure VM) 有可能拿不到 CurrentUser 的 certificate. 参考: Can't Get Current User Certificate From X.509 Store

可能是因为 IIS User 的权限问题吧. 解决方法是用 LocalMachine

在实例化 X509 时遇到 Error: The system cannot find the file specified

var certificate = new X509Certificate2(rawData: privateKeyBytes); // Error:The system cannot find the file specified

解决方法之一是 IIS set pool Load User Profile = true

但这个不是很好. 比较好的是这样调用

var certificate = new X509Certificate2(rawData: privateKeyBytes, password: (string?)null, keyStorageFlags: X509KeyStorageFlags.MachineKeySet | X509KeyStorageFlags.EphemeralKeySet);

原理看这里: What exactly happens when I set LoadUserProfile of IIS pool?

既然 Server store 和 IIS 经常会遇到权限问题, 那也可以改用 Azure KeyVault Certificate Service. 看这篇.

加密, 解密, 签名

参考: Encrypt / Decrypt in C# using Certificate

Public Key 加密, Private Key 解密 (注: 通常非对称加密, 只用来加密对称加密的密钥, 内容要短, 不然很慢的)

签名和验证签名则反过来 Private Key 签名, Public Key 验证. (注: 还需要 SHA256 消息摘要哦)

加密, 解密

using var algorithm = RSA.Create(keySizeInBits: 2048);
var subject = new X500DistinguishedName($"CN=jbreviews");
var request = new CertificateRequest(subject, algorithm, HashAlgorithmName.SHA256, RSASignaturePadding.Pss);
request.CertificateExtensions.Add(new X509KeyUsageExtension(X509KeyUsageFlags.KeyEncipherment, critical: true));
var certificate = request.CreateSelfSigned(
notBefore: DateTimeOffset.UtcNow,
notAfter: DateTimeOffset.UtcNow.AddDays(30)
);
var password = "password";
using var privateKey = certificate.GetRSAPrivateKey()!;
using var publicKey = certificate.GetRSAPublicKey()!;
var encryption = publicKey.Encrypt(Encoding.UTF8.GetBytes(password), RSAEncryptionPadding.OaepSHA256);
var decryption = privateKey.Decrypt(encryption, RSAEncryptionPadding.OaepSHA256);
var valid = Encoding.UTF8.GetString(decryption) == password;

request.CertificateExtensions 加不加好像不太重要. 我试过不加也可以正常跑.

签名, 验证签名

using var algorithm = RSA.Create(keySizeInBits: 2048);
var subject = new X500DistinguishedName($"CN=jbreviews");
var request = new CertificateRequest(subject, algorithm, HashAlgorithmName.SHA256, RSASignaturePadding.Pss);
request.CertificateExtensions.Add(new X509KeyUsageExtension(X509KeyUsageFlags.DigitalSignature, critical: true));
var certificate = request.CreateSelfSigned(
notBefore: DateTimeOffset.UtcNow,
notAfter: DateTimeOffset.UtcNow.AddDays(30)
);
var message = "value";
using var sha256 = SHA256.Create();
var messageDigest = sha256.ComputeHash(Encoding.UTF8.GetBytes(message));
using var privateKey = certificate.GetRSAPrivateKey()!;
using var publicKey = certificate.GetRSAPublicKey()!;
var signature = privateKey.SignHash(messageDigest, HashAlgorithmName.SHA256, RSASignaturePadding.Pss);
var valid = publicKey.VerifyHash(messageDigest, signature, HashAlgorithmName.SHA256, RSASignaturePadding.Pss);

RSA Padding

关于 RSA padding 我没有 research 太多

聊聊密码学中的Padding

RSA签名和加密方案:RSA-PSS和RSA-OAEP

RSA签名的PSS模式

从“教科书式RSA”到“RSA-OAEP”

有 3 种:

PKCS 1 是最开始的 (签名, 加密都可以用)

PSS 是后来用作签名的

OAEP 是后来用作加密的

OpenIddict Core 的 example 是 PKCS 1, 不知道我换掉 ok 不 ok 啦.

关于 PEM, CER, .pem, .cer, .crt .key, .pfx

参考:

网络安全 / crt、pem、pfx、cer、key 作用及区别

那些证书相关的玩意儿(SSL,X.509,PEM,DER,CRT,CER,KEY,CSR,P12等)

大家都是 X509.

一个 X509 包含证书信息, private key & public key

PEM 和 CER 是 format 格式.

Windows 通常是 CER 格式, Linux 是 PEM.

extension 则非常乱, 通常 Windows 用 .pfx, 里面包含了证书信息, public key 和 private key, 所以要 fully export 需要密码.

Linux 通常会分 2 个文件, 一个负责 public key 和证书信息 .crt, .cer, 另一个负责 private key extension 是 .key

以上全部都是可以相互 convert 的.

ASP.NET Core – Work with X509的更多相关文章

  1. ASP.NET Core 1.1 简介

    ASP.NET Core 1.1 于2016年11月16日发布.这个版本包括许多伟大的新功能以及许多错误修复和一般的增强.这个版本包含了多个新的中间件组件.针对Windows的WebListener服 ...

  2. ASP.NET Core 1.1 Preview 1 简介(包含.NETCore 1.1升级公告)

    ASP.NET Core 1.1 Preview 1于2016年10月25日发布.这个版本包括许多伟大的新功能以及许多错误修复和一般的增强. 要将现有项目更新到ASP.NET Core 1.1 Pre ...

  3. ASP.NET Core Kestrel部署HTTPS

    ASP.NET Core配置 Kestrel部署HTTPS.现在大部分网站已经部署HTTPS,大家对于安全越来越重视. 今天简单介绍一下ASP.NET Core 部署HTTPS,直接通过配置Kestr ...

  4. 如何在docker配置asp.net core https协议

    本文参考自<Step by step: Expose ASP.NET Core over HTTPS with Docker> 自从微软发布.net core以来,就在许多社区掀起了讨论, ...

  5. .net core下用HttpClient和asp.net core实现https的双向认证

    关于https双向认证的知识可先行google,这时矸接代码. 为了双向认证,我们首先得准备两个crt证书,一个是client.crt,一个是server.crt,有时为了验证是否同一个根证书的验证, ...

  6. 消除 ASP.NET Core 告警 "No XML encryptor configured. Key may be persisted to storage in unencrypted form"

    在 ASP.NET Core 中如果在 DataProtection 中使用了 PersistKeysToFileSystem 或 PersistKeysToFileSystem services.A ...

  7. ASP.NET Core如何使用WSFederation身份认证集成ADFS

    如果要在ASP.NET Core项目中使用WSFederation身份认证,首先需要在项目中引入NuGet包: Microsoft.AspNetCore.Authentication.WsFedera ...

  8. ASP.NET Core 之 Identity 入门(一)

    前言 在 ASP.NET Core 中,仍然沿用了 ASP.NET里面的 Identity 组件库,负责对用户的身份进行认证,总体来说的话,没有MVC 5 里面那么复杂,因为在MVC 5里面引入了OW ...

  9. ASP.NET Core 中的那些认证中间件及一些重要知识点

    前言 在读这篇文章之间,建议先看一下我的 ASP.NET Core 之 Identity 入门系列(一,二,三)奠定一下基础. 有关于 Authentication 的知识太广,所以本篇介绍几个在 A ...

  10. ASP.NET Core应用的错误处理[3]:ExceptionHandlerMiddleware中间件如何呈现“定制化错误页面”

    DeveloperExceptionPageMiddleware中间件利用呈现出来的错误页面实现抛出异常和当前请求的详细信息以辅助开发人员更好地进行纠错诊断工作,而ExceptionHandlerMi ...

随机推荐

  1. Python版WGCNA分析和蛋白质相互作用PPI分析教程

    在前面的教程中,我们介绍了使用omicverse完成基本的RNA-seq的分析流程,在本节教程中,我们将介绍如何使用omicverse完成加权基因共表达网络分析WGCNA以及蛋白质相互作用PPI分析. ...

  2. 信奥生(OIER)请看,包囊初赛复赛全真模拟赛!

    luogu 动态追踪! 唠唠嗑 感谢 tyw 代理团主对比赛的贡献,但是由于我和 tyw 的关系紧张,tyw 取消了我和她的一切合作.CTFPC-3rd 的出题.宣传工作都交到了我手上,我这次亚历山大 ...

  3. 【Java】JNDI实现

    前提情要: 培训的时候都没讲过,也是书上看到过这么个东西,进公司干外包的第二个项目就用了这个鬼东西 自学也不是没尝试过实现,结果各种失败,还找不到问题所在,索性不写了 JNDI实现参考: 目前参考这篇 ...

  4. FFmpeg在游戏视频录制中的应用:画质与文件大小的综合比较

    我们游戏内的视频录制目前只支持avi固定码率,在玩家见面会上有玩家反馈希望改善录制画质,我最近在研究了有关视频画质的一些内容并做了一些统计. 录制视频大小对比 首先在游戏引擎中增加了对录制mp4格式的 ...

  5. 外形最漂亮的人形机器人——通用机器人Apollo,设计为可以在任何任务和环境中与人类进行协作

    视频地址: https://www.bilibili.com/video/BV11F4m1M7ph/

  6. 【转载】 关于Numpy数据类型对象(dtype)使用详解

    原文地址: https://www.cnblogs.com/dreamboy2000/p/15350478.html ========================================= ...

  7. 再探 游戏 《 2048 》 —— AI方法—— 缘起、缘灭(2) —— 游戏环境设计篇

    注意: 本文为前文 再探 游戏 < 2048 > -- AI方法-- 缘起.缘灭(1) -- Firefox浏览器自动运行篇 接续篇. ========================== ...

  8. 在WSL Ubuntu中设置sshd自启动

    参考: https://blog.csdn.net/android_cai_niao/article/details/128490566 ------------------------------- ...

  9. 仿MFC消息机制封装对话框窗口类

    仿MFC消息机制封装对话框窗口类 这几天,又看了网上不少MFC的学习视频,学习了不少知识,对MFC消息机制有了不少的认识,于是便有了根据MFC消息机制再次封装一次对话框类, class QDialog ...

  10. sublime text _正则表达式01

    概述 sublime 常用正则表达式 预备工作:打开sublime之后,ctrl+h,点选使用正则表达式. (\S+) :匹配所有符号外的字符 用到的地方: 小明 小黄 小红 (构造批量插入sql语句 ...