WCF에서 자체 서명 인증서 사용하기

Question

안녕하세요 저는 자체 서명 인증서를 사용하는 wcf 서비스를 가지고 있습니다. 이전 버전은 보안 기능이 없으므로 새로운 버전에서만 구현됩니다. 하지만 이전 버전의 프로그램을 업데이트해야합니다. 그 이유는 내가 코드에서 인증서를 만들고 저장소에 추가해야합니다. 내가 한 대답에서 작은 변화

public class CertificateTools 
{ 
    public static X509Certificate2 CreateSelfSignedCertificate(string subjectName) 
    { 
     // create DN for subject and issuer 
     var dn = new CX500DistinguishedName(); 
     dn.Encode("CN=" + subjectName, X500NameFlags.XCN_CERT_NAME_STR_NONE); 

     // create a new private key for the certificate 
     CX509PrivateKey privateKey = new CX509PrivateKey(); 
     privateKey.KeyProtection = X509PrivateKeyProtection.XCN_NCRYPT_UI_NO_PROTECTION_FLAG; 
     privateKey.ProviderName = "Microsoft Base Cryptographic Provider v1.0"; 
     privateKey.MachineContext = true; 
     privateKey.Length = 1024; 
     privateKey.KeySpec = X509KeySpec.XCN_AT_SIGNATURE; // use is not limited 
     privateKey.ExportPolicy = X509PrivateKeyExportFlags.XCN_NCRYPT_ALLOW_PLAINTEXT_EXPORT_FLAG; 
     privateKey.Create(); 


     // Use the stronger SHA512 hashing algorithm 
     var hashobj = new CObjectId(); 
     hashobj.InitializeFromAlgorithmName(ObjectIdGroupId.XCN_CRYPT_HASH_ALG_OID_GROUP_ID, 
      ObjectIdPublicKeyFlags.XCN_CRYPT_OID_INFO_PUBKEY_ANY, 
      AlgorithmFlags.AlgorithmFlagsNone, "SHA1"); 

     // add extended key usage if you want - look at MSDN for a list of possible OIDs 
     var oid = new CObjectId(); 
     oid.InitializeFromValue("1.3.6.1.5.5.7.3.1"); // SSL server 
     var oidlist = new CObjectIds(); 
     oidlist.Add(oid); 
     var eku = new CX509ExtensionEnhancedKeyUsage(); 
     eku.InitializeEncode(oidlist); 


     //KeyUseg 
     CX509ExtensionKeyUsage extensionKeyUsage = new CX509ExtensionKeyUsage(); 
     // Key Usage Extension 
     extensionKeyUsage.InitializeEncode(
      X509KeyUsageFlags.XCN_CERT_DIGITAL_SIGNATURE_KEY_USAGE | 
      X509KeyUsageFlags.XCN_CERT_KEY_ENCIPHERMENT_KEY_USAGE | 
      X509KeyUsageFlags.XCN_CERT_DATA_ENCIPHERMENT_KEY_USAGE 
     ); 


     // Create the self signing request 
     var cert = new CX509CertificateRequestCertificate(); 
     cert.InitializeFromPrivateKey(X509CertificateEnrollmentContext.ContextMachine, privateKey, ""); 
     cert.Subject = dn; 
     cert.Issuer = dn; // the issuer and the subject are the same 
     cert.NotBefore = DateTime.Now.AddYears(-1); 
     // this cert expires immediately. Change to whatever makes sense for you 
     cert.NotAfter = DateTime.Now.AddYears(100); 
     cert.X509Extensions.Add((CX509Extension) extensionKeyUsage);//add the KU 
     cert.X509Extensions.Add((CX509Extension)eku); // add the EKU 
     cert.HashAlgorithm = hashobj; // Specify the hashing algorithm 
     cert.Encode(); // encode the certificate 

     // Do the final enrollment process 
     var enroll = new CX509Enrollment(); 
     enroll.InitializeFromRequest(cert); // load the certificate 
     enroll.CertificateFriendlyName = subjectName; // Optional: add a friendly name 
     string csr = enroll.CreateRequest(); // Output the request in base64 
     // and install it back as the response 
     enroll.InstallResponse(InstallResponseRestrictionFlags.AllowUntrustedCertificate, 
      csr, EncodingType.XCN_CRYPT_STRING_BASE64, ""); // no password 
     // output a base64 encoded PKCS#12 so we can import it back to the .Net security classes 
     var base64encoded = enroll.CreatePFX("", // no password, this is for internal consumption 
      PFXExportOptions.PFXExportChainWithRoot); 

     // instantiate the target class with the PKCS#12 data (and the empty password) 
     return new X509Certificate2(Convert.FromBase64String(base64encoded), "",X509KeyStorageFlags.Exportable); 
    } 
} 

코드 파크 How to create a self-signed certificate using C#? 예를 들어 코드를 사용

 X509Store store = new X509Store(StoreName.My, StoreLocation.LocalMachine); 
     store.Open(OpenFlags.ReadWrite | OpenFlags.IncludeArchived); 
     var certificate = CertificateTools.CreateSelfSignedCertificate("ServerAdminService");  
     store.Add(certificate);   
     store.Close(); 

사용 코드

  scb = new ServiceCredentials(); 
     scb.ServiceCertificate.SetCertificate(StoreLocation.LocalMachine, StoreName.My, X509FindType.FindBySubjectName, "ServerAdminService"); 

이 인증서를 생성하고 추가,하지만 난려고 할 때 사용 오류가 발생했습니다. 오류에는 개인 키가 없거나 프로세스에 권한이 없다고합니다. 내가 플래그를 바꿀 필요가있는 것 같지만 어떤 플래그인지 모르겠다.

Answer 1

인증서가 저장소에 추가되지 않았습니다. 이게 도움이되는지보기.

store.Open(OpenFlags.ReadWrite | OpenFlags.IncludeArchived); 
    var certificate = CertificateTools.CreateSelfSignedCertificate("ServerAdminService"); 
    store.Add(certificate) ;    
    store.Close(); 

Answer 2

이것은 늦은 것이지만 문제는 당신이 개인 키를 지속하지 않는다고 생각합니다. 인증서 생성의 마지막 줄에서

return new X509Certificate2(Convert.FromBase64String(base64encoded), "",X509KeyStorageFlags.Exportable); 

"X509KeyStorageFlags.PersistKeySet"을 설정하지 않았습니다. 이로 인해 개인 키가 생성중인 새 인증서에 유지됩니다. 그렇지 않으면 ... 개인 키없이 인증서가 설치됩니다.

시도 : 나는 ... 그렇게 보장을 실행하지 않은

return new X509Certificate2(Convert.FromBase64String(base64encoded), "",X509KeyStorageFlags.Exportable | X509KeyStorageFlags.PersistKeySet); 

.

파일에서 저장소로 X509Certificate2를 추가 할 때도 마찬가지입니다. X509Certificate2를 만들 때 X509KeyStorageFlags.PersistKeySet 플래그를 전달하여 개인 키를 유지해야합니다. 나는 많은 시간 동안 문제를 해결하는데 많은 시간을 할애했기 때문에 이것을 (파일에서로드하는 것) 확실히 알고있다.