안녕하세요 저는 자체 서명 인증서를 사용하는 wcf 서비스를 가지고 있습니다. 이전 버전은 보안 기능이 없으므로 새로운 버전에서만 구현됩니다. 하지만 이전 버전의 프로그램을 업데이트해야합니다. 그 이유는 내가 코드에서 인증서를 만들고 저장소에 추가해야합니다. 내가 한 대답에서 작은 변화WCF에서 자체 서명 인증서 사용하기
public class CertificateTools
{
public static X509Certificate2 CreateSelfSignedCertificate(string subjectName)
{
// create DN for subject and issuer
var dn = new CX500DistinguishedName();
dn.Encode("CN=" + subjectName, X500NameFlags.XCN_CERT_NAME_STR_NONE);
// create a new private key for the certificate
CX509PrivateKey privateKey = new CX509PrivateKey();
privateKey.KeyProtection = X509PrivateKeyProtection.XCN_NCRYPT_UI_NO_PROTECTION_FLAG;
privateKey.ProviderName = "Microsoft Base Cryptographic Provider v1.0";
privateKey.MachineContext = true;
privateKey.Length = 1024;
privateKey.KeySpec = X509KeySpec.XCN_AT_SIGNATURE; // use is not limited
privateKey.ExportPolicy = X509PrivateKeyExportFlags.XCN_NCRYPT_ALLOW_PLAINTEXT_EXPORT_FLAG;
privateKey.Create();
// Use the stronger SHA512 hashing algorithm
var hashobj = new CObjectId();
hashobj.InitializeFromAlgorithmName(ObjectIdGroupId.XCN_CRYPT_HASH_ALG_OID_GROUP_ID,
ObjectIdPublicKeyFlags.XCN_CRYPT_OID_INFO_PUBKEY_ANY,
AlgorithmFlags.AlgorithmFlagsNone, "SHA1");
// add extended key usage if you want - look at MSDN for a list of possible OIDs
var oid = new CObjectId();
oid.InitializeFromValue("1.3.6.1.5.5.7.3.1"); // SSL server
var oidlist = new CObjectIds();
oidlist.Add(oid);
var eku = new CX509ExtensionEnhancedKeyUsage();
eku.InitializeEncode(oidlist);
//KeyUseg
CX509ExtensionKeyUsage extensionKeyUsage = new CX509ExtensionKeyUsage();
// Key Usage Extension
extensionKeyUsage.InitializeEncode(
X509KeyUsageFlags.XCN_CERT_DIGITAL_SIGNATURE_KEY_USAGE |
X509KeyUsageFlags.XCN_CERT_KEY_ENCIPHERMENT_KEY_USAGE |
X509KeyUsageFlags.XCN_CERT_DATA_ENCIPHERMENT_KEY_USAGE
);
// Create the self signing request
var cert = new CX509CertificateRequestCertificate();
cert.InitializeFromPrivateKey(X509CertificateEnrollmentContext.ContextMachine, privateKey, "");
cert.Subject = dn;
cert.Issuer = dn; // the issuer and the subject are the same
cert.NotBefore = DateTime.Now.AddYears(-1);
// this cert expires immediately. Change to whatever makes sense for you
cert.NotAfter = DateTime.Now.AddYears(100);
cert.X509Extensions.Add((CX509Extension) extensionKeyUsage);//add the KU
cert.X509Extensions.Add((CX509Extension)eku); // add the EKU
cert.HashAlgorithm = hashobj; // Specify the hashing algorithm
cert.Encode(); // encode the certificate
// Do the final enrollment process
var enroll = new CX509Enrollment();
enroll.InitializeFromRequest(cert); // load the certificate
enroll.CertificateFriendlyName = subjectName; // Optional: add a friendly name
string csr = enroll.CreateRequest(); // Output the request in base64
// and install it back as the response
enroll.InstallResponse(InstallResponseRestrictionFlags.AllowUntrustedCertificate,
csr, EncodingType.XCN_CRYPT_STRING_BASE64, ""); // no password
// output a base64 encoded PKCS#12 so we can import it back to the .Net security classes
var base64encoded = enroll.CreatePFX("", // no password, this is for internal consumption
PFXExportOptions.PFXExportChainWithRoot);
// instantiate the target class with the PKCS#12 data (and the empty password)
return new X509Certificate2(Convert.FromBase64String(base64encoded), "",X509KeyStorageFlags.Exportable);
}
}
코드 파크 How to create a self-signed certificate using C#? 예를 들어 코드를 사용
X509Store store = new X509Store(StoreName.My, StoreLocation.LocalMachine);
store.Open(OpenFlags.ReadWrite | OpenFlags.IncludeArchived);
var certificate = CertificateTools.CreateSelfSignedCertificate("ServerAdminService");
store.Add(certificate);
store.Close();
사용 코드
scb = new ServiceCredentials();
scb.ServiceCertificate.SetCertificate(StoreLocation.LocalMachine, StoreName.My, X509FindType.FindBySubjectName, "ServerAdminService");
이 인증서를 생성하고 추가,하지만 난려고 할 때 사용 오류가 발생했습니다. 오류에는 개인 키가 없거나 프로세스에 권한이 없다고합니다. 내가 플래그를 바꿀 필요가있는 것 같지만 어떤 플래그인지 모르겠다.
인증서를 가져 와서 코드없이 수동으로 저장소에 추가 할 수도 있습니다. 옳은? –
사실이 질문에 추가하는 것을 잊었다. 하지만 개인 키 문제가 있다고 생각합니다. 또는 저장 위치 – aleshko
암호로 'CreatePFX'를 사용해보십시오. 암호가 제공되지 않았으므로 개인 키가 인증서에 포함되어 있지 않을 수 있습니다. – vetti