Azure 无法访问证书 PrivateKey“指定的提供程序类型无效”

Question

我们有一个运行了一年的 Azure 函数 (.NET 4.7.2)，它使用客户端证书向 Web 服务发送消息。必须更新此证书，但现在我们已经完成，发送消息时收到此异常；

System.Security.Cryptography.CryptographicException: Invalid provider type specified.

Azure 在读取私钥时遇到问题，问题似乎是从我的本地计算机导出它。这个问题会不会源于最初的 CSR？只要有效，以前的证书仍然可以正常工作。请注意，我可以使用本地计算机上的新证书发送消息。 我尝试过的事情；

• 使用 MMC 设置的所有组合来导出 .pfx 文件
• 使用https://stackoverflow.com/a/34103154/6033193 中的答案将证书密钥转换为 RSA 格式并上传新生成的 .pfx
• 使用CertUtil.exe -store -user my比较新旧证书。它们都有 Provider Microsoft Enhanced Cryptographic Provider v1.0，除了哈希值和名称之外，看起来都一样。
• 从设置中删除 Azure Key Vault 并将 pfx 直接上传到应用服务
• 从本地文件夹读取 .pfx 并像这样使用它：new X509Certificate2(certByes, "password", X509KeyStorageFlags.PersistKeySet);。这很有效，因此在将 .pfx 文件上传到 Azure 门户时似乎出现了问题。

还有什么我可以尝试的吗？

Answer 1

适用于旧证书的提供程序不再适用于新证书。我有预感加密有问题，因为 Bag Attributes 不包含 LocalKeyID 信息，但我不能确定。

无论如何，将提供程序更改为“Microsoft 平台加密提供程序”使得私钥可以在 Azure 中访问。使用 OpenSSL：

首先从 .pfx 文件中导出 .key 和公共 .pem 部分；

openssl pkcs12 -in cert.pfx -out cert_publicpart.pem -nokeys
openssl pkcs12 -in cert.pfx -out cert_privatekey.key -nocerts

如果它是加密的，它会在每个命令后询问您的密码。

然后，将其转换回指定提供程序的 .pfx；

openssl pkcs12 -export -in cert_publicpart.pem -inkey cert_privatekey.key -out cert_newCSP.pfx -CSP "Microsoft Platform Crypto Provider"

再次指定密码，新的 .pfx 就可以使用了！

可选，如果您想验证 CSP：

openssl pkcs12 -in "cert_newCSP.pfx" -out "cert_newCSP.pem"

打开 .pem 文件，找到 -----BEGIN ENCRYPTED PRIVATE KEY----- 并在其上方查找 Microsoft CSP Name: Microsoft Platform Crypto Provider。