13

ローカル システム アカウントで Windows サービスとして実行されているセルフホステッド WCF サーバーがあります。メッセージ レベル セキュリティを使用して net.tcp エンドポイントで使用するために、C# でプログラムによって自己署名証明書を作成しようとしています。

C# を使用して自己署名証明書を作成する方法で受け入れられた回答に非常に近い次のコードを使用しています。私の問題を解決しようとするいくつかの小さな変更があります。

public static X509Certificate2 CreateSelfSignedCertificate(string subjectName, TimeSpan expirationLength)
{
    // create DN for subject and issuer
    var dn = new CX500DistinguishedName();
    dn.Encode("CN=" + subjectName, X500NameFlags.XCN_CERT_NAME_STR_NONE);

    CX509PrivateKey privateKey = new CX509PrivateKey();
    privateKey.ProviderName = "Microsoft Strong Cryptographic Provider";
    privateKey.Length = 1024;
    privateKey.KeySpec = X509KeySpec.XCN_AT_KEYEXCHANGE;
    privateKey.KeyUsage = X509PrivateKeyUsageFlags.XCN_NCRYPT_ALLOW_DECRYPT_FLAG | X509PrivateKeyUsageFlags.XCN_NCRYPT_ALLOW_KEY_AGREEMENT_FLAG;
    privateKey.MachineContext = true;
    privateKey.ExportPolicy = X509PrivateKeyExportFlags.XCN_NCRYPT_ALLOW_EXPORT_FLAG;
    privateKey.Create();

    // Use the stronger SHA512 hashing algorithm
    var hashobj = new CObjectId();
    hashobj.InitializeFromAlgorithmName(ObjectIdGroupId.XCN_CRYPT_HASH_ALG_OID_GROUP_ID,
        ObjectIdPublicKeyFlags.XCN_CRYPT_OID_INFO_PUBKEY_ANY,
        AlgorithmFlags.AlgorithmFlagsNone, "SHA1");

    // Create the self signing request
    var cert = new CX509CertificateRequestCertificate();
    cert.InitializeFromPrivateKey(X509CertificateEnrollmentContext.ContextMachine, privateKey, "");
    cert.Subject = dn;
    cert.Issuer = dn; // the issuer and the subject are the same
    cert.NotBefore = DateTime.Now.Date;
    // this cert expires immediately. Change to whatever makes sense for you
    cert.NotAfter = cert.NotBefore + expirationLength;
    //cert.X509Extensions.Add((CX509Extension)eku); // add the EKU
    cert.HashAlgorithm = hashobj; // Specify the hashing algorithm
    cert.Encode(); // encode the certificate

    // Do the final enrollment process
    var enroll = new CX509Enrollment();
    enroll.InitializeFromRequest(cert); // load the certificate
    enroll.CertificateFriendlyName = subjectName; // Optional: add a friendly name
    string csr = enroll.CreateRequest(); // Output the request in base64
    // and install it back as the response
    enroll.InstallResponse(InstallResponseRestrictionFlags.AllowUntrustedCertificate,
        csr, EncodingType.XCN_CRYPT_STRING_BASE64, ""); // no password
    // output a base64 encoded PKCS#12 so we can import it back to the .Net security classes
    var base64encoded = enroll.CreatePFX("", // no password, this is for internal consumption
        PFXExportOptions.PFXExportChainWithRoot);

    // instantiate the target class with the PKCS#12 data (and the empty password)
    return new System.Security.Cryptography.X509Certificates.X509Certificate2(
        System.Convert.FromBase64String(base64encoded), "",
        // mark the private key as exportable (this is usually what you want to do)
        // mark private key to go into the Machine store instead of the current users store
        X509KeyStorageFlags.Exportable | X509KeyStorageFlags.MachineKeySet
    );
}

そして、私はこのコードでそれを保存します:

X509Store store = new X509Store(storeName, StoreLocation.LocalMachine);
store.Open(OpenFlags.ReadWrite);
store.Add(newCert);
store.Close();

これにより、証明書が作成され、LocalMachine 証明書ストアに配置されます。問題は、WCF サービスを開始しようとすると、次の例外が発生することです。

証明書 'CN=myCertificate' に鍵交換が可能な秘密鍵がないか、プロセスに秘密鍵へのアクセス権がない可能性があります。詳細は内部例外を参照してください。内部例外: キーセットが存在しません

私の証明書の FindPrivateKey サンプル ( http://msdn.microsoft.com/en-us/library/aa717039%28v=vs.100%29.aspx ) の出力は次のとおりです。

Private key directory:
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys
Private key file name:
f0d47c7826b8ef5148b6d412f1c40024_4a8a026f-58e4-40f7-b779-3ae9b6aae1a7

エクスプローラーでこの 1.43KB のファイルを確認できます。プロパティ|セキュリティを見ると、システムと管理者の両方にフル コントロールが表示されます。

このエラーを調査する際に、秘密鍵の欠落または不適切なアクセス許可に関する多くの回答を見てきました。何が問題なのかわかりません。

本当に奇妙なのは、mmc 証明書プラグインを使用している場合、証明書に移動し、[すべてのタスク]、[秘密キーの管理] の順に選択すると、同じセキュリティ設定が表示されることです。これを表示した後、ダイアログを表示して [キャンセル] ボタンをクリックしただけでも、証明書は WCF で正しく機能するようになりました。サービスを再起動するだけで、すべてが完全に実行されます。

MakeCert を使用して証明書を作成すると、最初から問題なく動作します。何が違うのかわかりません。

関係ないかもしれないもう 1 つの情報は、証明書が配置するように指示した My ストアに配置されるだけでなく、「中間認証機関」ストアにも配置されることです。理由も、それが重要かどうかもわかりません。

だから...私が間違っていることはありますか?

更新:まあ、これは WCF だけの問題ではありません。証明書を使用して HttpSetServiceConfiguration を使用してhttp.sysでエンドポイントにバインドしようとすると、基本的に同じ問題が発生します。このメソッドは 1312 - 「指定されたログオン セッションは存在しません。既に終了している可能性があります」を返します。これは実際には本当のエラーではありません。セキュリティ イベント ログに、次のような監査エラーが記録されているのを見ました。

Cryptographic Parameters:
    Provider Name:  Microsoft Software Key Storage Provider
    Algorithm Name: Not Available.
    Key Name:   {A23712D0-9A7B-4377-89DB-B1B39E3DA8B5}
    Key Type:   Machine key.

Cryptographic Operation:
    Operation:  Open Key.
    Return Code:    0x80090011

0x80090011 はオブジェクトが見つかりませんでした。したがって、これは同じ問題のようです。繰り返しますが、証明書の [秘密鍵の管理] ダイアログを開くと、これも完全に機能します。

私はまだ問題の原因を探しています。

更新#2:以下の受け入れられた回答を使用して、これを機能させることができました。興味深いことに、このコードは、X509Store コードを呼び出さずに、マシン ストアに証明書を配置しているように見えます。よくわからないのでコードを呼び出しますが、何も害はありません。これが、証明書を作成するために使用している最終的なコードです。

    static public X509Certificate2 CreateSelfSignedCertificate(string subjectName, TimeSpan expirationLength)
    {
        // create DN for subject and issuer
        var dn = new CX500DistinguishedName();
        dn.Encode("CN=" + subjectName, X500NameFlags.XCN_CERT_NAME_STR_NONE);

        CX509PrivateKey privateKey = new CX509PrivateKey();
        privateKey.ProviderName = "Microsoft Strong Cryptographic Provider";
        privateKey.Length = 2048;
        privateKey.KeySpec = X509KeySpec.XCN_AT_KEYEXCHANGE;
        privateKey.KeyUsage = X509PrivateKeyUsageFlags.XCN_NCRYPT_ALLOW_DECRYPT_FLAG | X509PrivateKeyUsageFlags.XCN_NCRYPT_ALLOW_KEY_AGREEMENT_FLAG;
        privateKey.MachineContext = true;
        privateKey.ExportPolicy = X509PrivateKeyExportFlags.XCN_NCRYPT_ALLOW_PLAINTEXT_EXPORT_FLAG;
        privateKey.Create();

        // Use the stronger SHA512 hashing algorithm
        var hashobj = new CObjectId();
        hashobj.InitializeFromAlgorithmName(ObjectIdGroupId.XCN_CRYPT_HASH_ALG_OID_GROUP_ID,
            ObjectIdPublicKeyFlags.XCN_CRYPT_OID_INFO_PUBKEY_ANY,
            AlgorithmFlags.AlgorithmFlagsNone, "SHA512");

        // Create the self signing request
        var cert = new CX509CertificateRequestCertificate();
        cert.InitializeFromPrivateKey(X509CertificateEnrollmentContext.ContextMachine, privateKey, "");
        cert.Subject = dn;
        cert.Issuer = dn; // the issuer and the subject are the same
        cert.NotBefore = DateTime.Now.Date;
        // this cert expires immediately. Change to whatever makes sense for you
        cert.NotAfter = cert.NotBefore + expirationLength;
        cert.HashAlgorithm = hashobj; // Specify the hashing algorithm
        cert.Encode(); // encode the certificate

        // Do the final enrollment process
        var enroll = new CX509Enrollment();
        enroll.InitializeFromRequest(cert); // load the certificate
        enroll.CertificateFriendlyName = subjectName; // Optional: add a friendly name
        string csr = enroll.CreateRequest(); // Output the request in base64
        // and install it back as the response
        enroll.InstallResponse(InstallResponseRestrictionFlags.AllowUntrustedCertificate,
            csr, EncodingType.XCN_CRYPT_STRING_BASE64, ""); // no password
        // output a base64 encoded PKCS#12 so we can import it back to the .Net security classes
        var base64encoded = enroll.CreatePFX("", // no password, this is for internal consumption
            PFXExportOptions.PFXExportChainWithRoot);

        // instantiate the target class with the PKCS#12 data (and the empty password)
        return new System.Security.Cryptography.X509Certificates.X509Certificate2(
            System.Convert.FromBase64String(base64encoded), "",
            // mark the private key as exportable (this is usually what you want to do)
            // mark private key to go into the Machine store instead of the current users store
            X509KeyStorageFlags.Exportable | X509KeyStorageFlags.MachineKeySet | X509KeyStorageFlags.PersistKeySet
        );
    }
4

3 に答える 3

5

PowerShell で同等のコードを使用して同じ問題が発生しました。秘密鍵が消えてしまうことがあるようです。Process Monitor を使用したところ、キー ファイルが削除されていることがわかります。

X509KeyStorageFlags.PersistKeySetこれを解決する方法は、X509Certificate2 コンストラクターに追加することでした。

于 2013-12-20T16:31:30.467 に答える
5

これを機能させることはできませんでしたが、別の解決策を見つけました。(2014年12月更新:受け入れられた回答を使用して機能するようになりました。)

PluralSight.Crypto ライブラリを使用して、必要なものを実現できました。LocalMachine ストアに保存する秘密鍵を取得するには、ソース コードを少し変更する必要がありました。私が行った変更は、ファイル CryptContext.cs に対するものでした。CreateSelfSignedCertificate メソッドを変更しました。以下は、私が行った変更を含むコードのスニペットです。基本的に、CryptContext オブジェクトの Flags にこの値が含まれている場合、CryptKeyProviderInformation 構造体の Flags メンバーを 0x20 (CRYPT_MACHINE_KEYSET) に設定します。

        byte[] asnName = properties.Name.RawData;
        GCHandle asnNameHandle = GCHandle.Alloc(asnName, GCHandleType.Pinned);

        int flags = 0;                    // New code
        if ((this.Flags & 0x20) == 0x20)  // New code
            flags = 0x20;                 // New code

        var kpi = new Win32Native.CryptKeyProviderInformation
        {
            ContainerName = this.ContainerName,
            KeySpec = (int)KeyType.Exchange,
            ProviderType = 1, // default RSA Full provider
            Flags = flags                 // New code
        };

次に、この関数を自分のコードで次のように使用します。

        using (Pluralsight.Crypto.CryptContext ctx = new Pluralsight.Crypto.CryptContext()) {

            ctx.Flags = 0x8 | 0x20;
            ctx.Open();

            X509Certificate2 cert = ctx.CreateSelfSignedCertificate(
                new Pluralsight.Crypto.SelfSignedCertProperties
                {
                    IsPrivateKeyExportable = true,
                    KeyBitLength = 4096,
                    Name = new X500DistinguishedName("CN=" + subjectName),
                    ValidFrom = DateTime.Today,
                    ValidTo = DateTime.Today + expirationLength,
                });

            return cert;
        }

CryptContext オブジェクトのフラグを 0x8 | に設定していることに注意してください。0x20 (CRYPT_NEWKEYSET | CRYPT_MACHINE_KEYSET)。

元のソリューションの何が問題だったのかを理解できたらいいのにと思います。しかし、私は何かが機能する必要があり、私のテストでは、このソリューションは私が必要とすることを行います。途中で他の誰かに役立つことを願っています。

于 2013-09-06T16:26:44.873 に答える
3

CodePlex ( https://clrsecurity.codeplex.com/ ) で CLR セキュリティ ライブラリを使用することもできます。自己署名証明書を作成し、SSLStream でテストするサンプル コードを次に示します。

        var machineName = Environment.MachineName;
        var keyCreationParameters = new CngKeyCreationParameters();
        keyCreationParameters.KeyUsage = CngKeyUsages.AllUsages;
        keyCreationParameters.KeyCreationOptions = CngKeyCreationOptions.OverwriteExistingKey;
        keyCreationParameters.Parameters.Add(new CngProperty("Length", BitConverter.GetBytes(4096), CngPropertyOptions.None));
        var cngKey = CngKey.Create(CngAlgorithm2.Rsa, "Test", keyCreationParameters);

        var x500DistinguishedName = new X500DistinguishedName("CN=" + machineName);
        x500DistinguishedName.Oid.Value = "1.3.6.1.5.5.7.3.1";
        var certificateCreationParameters = new X509CertificateCreationParameters(x500DistinguishedName);
        certificateCreationParameters.SignatureAlgorithm = X509CertificateSignatureAlgorithm.RsaSha512;
        certificateCreationParameters.TakeOwnershipOfKey = true;
        certificateCreationParameters.CertificateCreationOptions = X509CertificateCreationOptions.None;
        certificateCreationParameters.EndTime = new DateTime(9999, 12,31, 23, 59, 59, 999, DateTimeKind.Utc);
        var certificate = cngKey.CreateSelfSignedCertificate(certificateCreationParameters);

        var certificateStore = new X509Store(StoreName.Root, StoreLocation.CurrentUser);
        certificateStore.Open(OpenFlags.ReadWrite);
        certificateStore.Add(certificate);
        certificateStore.Close();


        var tcpListener = TcpListener.Create(6666);
        tcpListener.Start();
        var client = new TcpClient("localhost", 6666);
        var acceptedClient = tcpListener.AcceptTcpClient();
        var acceptedClinetSslStream = new SslStream(
            acceptedClient.GetStream(), false);
        var serverAuthTask = acceptedClinetSslStream.AuthenticateAsServerAsync(certificate,
                            false, SslProtocols.Tls, true);

        SslStream clientSslStream = new SslStream(
            client.GetStream(),
            false,
            delegate(object o, X509Certificate x509Certificate, X509Chain chain, SslPolicyErrors errors)
                {
                    if (errors == SslPolicyErrors.None)
                        return true;

                    Console.WriteLine("Certificate error: {0}", errors);

                    // Do not allow this client to communicate with unauthenticated servers. 
                    return false;
                },
            null);
        var clientAuthTask = clientSslStream.AuthenticateAsClientAsync(machineName);

        Task.WaitAll(serverAuthTask, clientAuthTask);
于 2015-03-02T21:30:48.170 に答える