certificate - .NET 5 无法导出 letencrypt 证书私钥
问题描述
我已经生成了让我们加密存储在LocalMachine\My
. 邮件服务器必须每 90 天更新一次证书。我的程序应该每 30 天获取最后一个有效证书、导出密钥和重新启动服务。
我在导出私钥时遇到问题。让我们加密证书不受密码保护。
我的错误:
Internal.Cryptography.CryptoThrowHelper+WindowsCryptographicException: The requested operation is not supported. at System.Security.Cryptography.CngKey.Export(CngKeyBlobFormat format) at
System.Security.Cryptography.RSACng.ExportKeyBlob(Boolean includePrivateParameters) at
System.Security.Cryptography.RSACng.ExportParameters(Boolean includePrivateParameters) at
System.Security.Cryptography.RSA.WritePkcs1PrivateKey() at
System.Security.Cryptography.RSA.ExportRSAPrivateKey()
代码:
try
{
using X509Store store = new X509Store(StoreName.My, StoreLocation.LocalMachine);
try
{
store.Open(OpenFlags.OpenExistingOnly);
X509Certificate2Collection collection = store.Certificates.Find(X509FindType.FindBySubjectName, "my.domain.name", true);
X509Certificate2 certificate = null;
foreach(X509Certificate2 item in collection)
{
if (certificate is null)
certificate = item;
else if (item.NotAfter > certificate.NotAfter)
certificate = item;
}
if(certificate is null)
{
logger.LogError($"Certificate not found.");
return;
}
byte[] certificateBytes = certificate.RawData;
char[] certificatePem = PemEncoding.Write("CERTIFICATE", certificateBytes);
RSA key = certificate.GetRSAPrivateKey();
byte[] privKeyBytes = key.ExportRSAPrivateKey(); //key.ExportPkcs8PrivateKey(); // CRASH
char[] privKeyPem = PemEncoding.Write("PRIVATE KEY", privKeyBytes);
string privateKey = $"{new string(privKeyPem).Replace("\r\n\n", "\n")}\n";
string certificateKey = $"{new string(certificatePem).Replace("\r\n\n", "\n")}\n";
await File.WriteAllTextAsync("mypath\\key.private", privateKey);
await File.WriteAllTextAsync("mypath\\key.public", certificateKey);
// service reboot....
}
catch (CryptographicException ex)
{
logger.LogError($"Certificate error - {ex}");
}
finally
{
store.Close();
}
}
catch(Exception ex)
{
logger.LogError(ex.ToString());
}
程序由具有读、写、修改、列表权限的用户运行C:\Program Data\Microsoft\Crypto\RSA\MachineKeys
.net 版本 5.0.3
目标操作系统:windows server 2016
解决方案
这是因为 Windows 中的一个怪癖,其中 CNG 中的私钥有两个可导出性的概念(明文可导出与加密可导出)。这是一个足够简单的解决方法:
PbeParameters simplePbe = new PbeParameters(
PbeEncryptionAlgorithm.TripleDes3KeyPkcs12,
HashAlgorithmName.SHA1,
1);
byte[] = key.ExportEncryptedPkcs8PrivateKey("temp", simplePbe);
using (RSA temp = RSA.Create())
{
temp.ImportEncryptedPkcs8PrivateKey("temp", exported, out _);
privKeyBytes = temp.ExportPkcs8PrivateKey();
}
char[] privKeyPem = PemEncoding.Write("PRIVATE KEY", privKeyBytes);
推荐阅读
- c# - Entity Framework Core 中的 FreeText
- jquery - 在 AMP html 中使用 JQuery 时出现错误如何解决?
- mysql - Mysql NOT IS NULL 行为
- ios - 当设备处于 IOS 13 的暗模式时如何将您的应用程序限制为亮模式
- javascript - React-Native 中的树视图
- python-3.x - 尝试从单个函数获取两个列表时出现 ValueError
- python - 如何自动分页而不是在烧瓶中使用限制和偏移量
- .net-core - 如何将 Google API 范围添加到 IdentityServer4
- node.js - Mongo 查询字段并且不返回重复项
- r - 如何在 R 中生成带有条形堆栈(不同颜色)的 gap.barplot?