c# X509Certificate2 添加证书如何标记为可导出

Question

我有一个 .NET 4.0 程序，它在端口 9000 上运行 localhost。 我想支持 SSL 并有一个要导入的 .pfx 证书。

因为程序在多台计算机上运行，​​程序本身负责 存储证书并注册其端口。

当程序导入和注册时，一切正常。 但是当我重新启动计算机时，https 连接不起作用......更多......

事件查看器给出以下错误：

尝试访问 SSL 服务器时发生致命错误 凭证私钥。从返回的错误代码 密码模块是 0x8009030D。内部错误状态为 10001。

和

对端点使用 SSL 配置时出错 0.0.0.0:9000。错误状态码包含在返回的数据中。

我找到了一些解决方案，说明您需要在导入时将证书标记为“可导出” 但我在代码中找不到如何做到这一点。

Website 1 和 Website 2

存储证书：

String path = String.Concat(IOHelper.AssemblyPath, @"\certificate.pfx");
X509Certificate2 cert = new X509Certificate2(path, "password");

X509Store store = new X509Store(StoreName.My, StoreLocation.LocalMachine);
store.Open(OpenFlags.ReadWrite);

if(!store.Certificates.Contains(cert))
{
    store.Add(cert);
}

注册主机：

netsh http add sslcert ipport=0.0.0.0:9000 certhash=<cert hash> appid=<app id>

Answer 1

将X509Certificate2 标记为可导出实际上非常简单。添加第三个参数 (X509KeyStorageFlags.Exportable)，表示证书是可导出的。

var cert = new X509Certificate2(path, "password", X509KeyStorageFlags.Exportable);

Answer 2

除了 Madeillei 的回答，您还可以传递以下标志：

var cert = new X509Certificate2(path, "password", X509KeyStorageFlags.PersistKeySet | X509KeyStorageFlags.Exportable| X509KeyStorageFlags.MachineKeySet);

如果您将证书存储在 CurrentUser 存储而不是 LocalMachine 存储中，请执行以下操作：

var cert = new X509Certificate2(path, "password", X509KeyStorageFlags.PersistKeySet | X509KeyStorageFlags.Exportable| X509KeyStorageFlags.UserKeySet);

键集标志指示如下：

    //
    // Summary:
    //     Private keys are stored in the current user store rather than the local computer
    //     store. This occurs even if the certificate specifies that the keys should go
    //     in the local computer store.
    UserKeySet = 1,
    //
    // Summary:
    //     Private keys are stored in the local computer store rather than the current user
    //     store.
    MachineKeySet = 2,

私钥需要与证书的其余部分位于同一位置才能正常工作。