无法验证带有 CERTENROLL.dll 的 C# 非自签名客户端证书

【问题标题】:C# Non self signed client certs with CERTENROLL.dll are unable to be verified无法验证带有 CERTENROLL.dll 的 C# 非自签名客户端证书
【发布时间】:2016-02-01 21:31:15
【问题描述】:

这是C# Generate a non self signed client CX509Certificate Request without a CA using the certenroll.dll的后续行动

我正在尝试创建一个由我的自签名 CA 签名的客户端证书,如上述问题所示。我可以使用makecert.exe(它们显示为受信任)毫无问题地创建所需的证书。我试图在C# 中做同样的事情。证书被创建并放置在机器的My 存储中。自签名 CA 也安装在机器的 Trusted 存储中。当我打开它们时,它们会说:

Windows 没有足够的信息来验证此证书。

帮助?

代码:

// create DN
var dn = new CX500DistinguishedName();
dn.Encode("CN=Demo Cert", X500NameFlags.XCN_CERT_NAME_STR_NONE);

// create prvate key
var pk = new CX509PrivateKey();
pk.MachineContext = true;
pk.Length = 1024;
pk.KeySpec = X509KeySpec.XCN_AT_KEYEXCHANGE;
pk.ExportPolicy = X509PrivateKeyExportFlags.XCN_NCRYPT_ALLOW_EXPORT_FLAG;
pk.Create();

// use SHA512
var hash = new CObjectId();
hash.InitializeFromAlgorithmName(ObjectIdGroupId.XCN_CRYPT_HASH_ALG_OID_GROUP_ID, ObjectIdPublicKeyFlags.XCN_CRYPT_OID_INFO_PUBKEY_ANY, AlgorithmFlags.AlgorithmFlagsNone, "SHA512");

// EKU
var oid = new CObjectId();
oid.InitializeFromValue("1.3.6.1.5.5.7.3.2");
var oidlist = new CObjectIds();
oidlist.Add(oid);
var eku = new CX509ExtensionEnhancedKeyUsage();
eku.InitializeEncode(oidlist);

// Initialize the signer
var TheCA = GimmeTheCA(); // method returns my self signed CA as X509Certificate2
ISignerCertificate signer = new CSignerCertificate();
signer.Initialize(true, X509PrivateKeyVerify.VerifyNone, EncodingType.XCN_CRYPT_STRING_HEX, TheCA.GetRawCertDataString());

// Root Dn
var Rootdn = new CX500DistinguishedName();
Rootdn.Encode(TheCA.Subject, X500NameFlags.XCN_CERT_NAME_STR_NONE);

// Cert Request
var cert = new CX509CertificateRequestCertificate();
cert.InitializeFromPrivateKey(X509CertificateEnrollmentContext.ContextMachine, pk, "");
cert.Subject = dn;
cert.Issuer = Rootdn;
cert.SignerCertificate = (CSignerCertificate)signer;
cert.NotBefore = DateTime.Now;
cert.NotAfter = new DateTime(2020, 1, 1);
cert.X509Extensions.Add((CX509Extension)eku);
cert.HashAlgorithm = hash;
cert.Encode();

// Enrollment
var enroll = new CX509Enrollment();
enroll.InitializeFromRequest(cert);
enroll.CertificateFriendlyName = "Intel IPT";
string csr = enroll.CreateRequest();

// Install
enroll.InstallResponse(InstallResponseRestrictionFlags.AllowUntrustedRoot, csr, EncodingType.XCN_CRYPT_STRING_BASE64, "");

【问题讨论】:

  • 你找到解决办法了吗?
  • 没有。我没有使用自签名证书,而是使用了来自 MS 独立 CA 的证书。

标签: c# self-signed certenroll


【解决方案1】:

你可以试试:

  • pk.KeySpec = X509KeySpec.XCN_AT_SIGNATURE;

  • pk.KeyUsage = X509PrivateKeyUsageFlags.XCN_NCRYPT_ALLOW_ALL_USAGES;

  • 以提升的权限运行应用程序(以管理员身份运行)。

  • 将 CA 证书的副本放入“Computer\Personal”(“MY”)存储中(但将原始证书保留在“Computer\Trusted Root Cert. Auth.”(“Root”)存储中)

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 2022-01-07
    • 1970-01-01
    • 1970-01-01
    • 2018-02-02
    • 2018-09-21
    • 2013-07-14
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode