40

C# とBouncyCastleライブラリを使用して、X509 証明書 (秘密キーを含む) をプログラムで生成しようとしています。Felix Kollmann によるこのサンプルのコードの一部を使用してみましたが、証明書の秘密鍵部分が null を返します。コードと単体テストは次のとおりです。

using System;
using System.Collections;
using Org.BouncyCastle.Asn1;
using Org.BouncyCastle.Asn1.X509;
using Org.BouncyCastle.Crypto;
using Org.BouncyCastle.Crypto.Generators;
using Org.BouncyCastle.Crypto.Prng;
using Org.BouncyCastle.Math;
using Org.BouncyCastle.Security;
using Org.BouncyCastle.X509;

namespace MyApp
{
    public class CertificateGenerator
    {
        /// <summary>
        /// 
        /// </summary>
        /// <remarks>Based on <see cref="http://www.fkollmann.de/v2/post/Creating-certificates-using-BouncyCastle.aspx"/></remarks>
        /// <param name="subjectName"></param>
        /// <returns></returns>
        public static byte[] GenerateCertificate(string subjectName)
        {
            var kpgen = new RsaKeyPairGenerator();

            kpgen.Init(new KeyGenerationParameters(new SecureRandom(new CryptoApiRandomGenerator()), 1024));

            var kp = kpgen.GenerateKeyPair();

            var gen = new X509V3CertificateGenerator();

            var certName = new X509Name("CN=" + subjectName);
            var serialNo = BigInteger.ProbablePrime(120, new Random());

            gen.SetSerialNumber(serialNo);
            gen.SetSubjectDN(certName);
            gen.SetIssuerDN(certName);
            gen.SetNotAfter(DateTime.Now.AddYears(100));
            gen.SetNotBefore(DateTime.Now.Subtract(new TimeSpan(7, 0, 0, 0)));
            gen.SetSignatureAlgorithm("MD5WithRSA");
            gen.SetPublicKey(kp.Public);

            gen.AddExtension(
                X509Extensions.AuthorityKeyIdentifier.Id,
                false,
                new AuthorityKeyIdentifier(
                    SubjectPublicKeyInfoFactory.CreateSubjectPublicKeyInfo(kp.Public),
                    new GeneralNames(new GeneralName(certName)),
                    serialNo));

            gen.AddExtension(
                X509Extensions.ExtendedKeyUsage.Id,
                false,
                new ExtendedKeyUsage(new ArrayList() { new DerObjectIdentifier("1.3.6.1.5.5.7.3.1") }));

            var newCert = gen.Generate(kp.Private);
            return DotNetUtilities.ToX509Certificate(newCert).Export(System.Security.Cryptography.X509Certificates.X509ContentType.Pkcs12, "password");
        }
    }
}

単体テスト:

using System.Security.Cryptography;
using System.Security.Cryptography.X509Certificates;
using Microsoft.VisualStudio.TestTools.UnitTesting;

namespace MyApp
{
    [TestClass]
    public class CertificateGeneratorTests
    {
        [TestMethod]
        public void GenerateCertificate_Test_ValidCertificate()
        {
            // Arrange
            string subjectName = "test";

            // Act
            byte[] actual = CertificateGenerator.GenerateCertificate(subjectName);

            // Assert
            var cert = new X509Certificate2(actual, "password");
            Assert.AreEqual("CN=" + subjectName, cert.Subject);
            Assert.IsInstanceOfType(cert.PrivateKey, typeof(RSACryptoServiceProvider));
        }
    }
}
4

2 に答える 2

32

明確にするために、X.509 証明書には秘密鍵が含まれていません。証明書という言葉は、証明書と秘密鍵の組み合わせを表すために誤用されることがありますが、これらは 2 つの異なるエンティティです。証明書を使用することの要点は、秘密にしておく必要がある秘密鍵を送信せずに、多かれ少なかれ公然と送信することです。X509Certificate2オブジェクトには (そのプロパティを介して) 秘密鍵が関連付けられている場合がありますが、PrivateKeyこれはこのクラスの設計の一部としてのみ便利です。

最初の BouncyCastle コード例では、newCertは実際には単なる証明書でありDotNetUtilities.ToX509Certificate(newCert)、証明書のみから構築されています。

PKCS#12 形式には秘密鍵の存在が必要であることを考えると、次の部分が機能することに非常に驚いています (おそらく秘密鍵を知ることができない証明書で呼び出していることを考えると)。

.Export(System.Security.Cryptography.X509Certificates.X509ContentType.Pkcs12,
    "password");

gen.Generate(kp.Private)秘密鍵を使用して証明書に署名しますが、秘密鍵を証明書に入れません。これは意味がありません。)

メソッドで証明書と秘密鍵の両方を返す場合は、次のいずれかを実行できます。

  • プロパティX509Certificate2を初期化したオブジェクトを返しますPrivateKey
  • PKCS#12 ストアを構築し、そのbyte[]コンテンツを (ファイルであるかのように) 返します。送信したリンク( mirror ) のステップ 3 では、PKCS#12 ストアを構築する方法について説明しています。

X.509 証明書自体の (DER) 構造を返すbyte[]と、秘密鍵は含まれません。

(テストケースによると)主な関心事が証明書がRSAキーペアから構築されたことを確認することである場合は、代わりにその公開鍵のタイプを確認できます。

于 2010-09-22T17:23:24.420 に答える