c# - 使用 .NET 中的证书文件中的根 CA 进行数字签名-6ren

c# - 使用 .NET 中的证书文件中的根 CA 进行数字签名

转载作者：行者123 更新时间：2023-11-30 21:53:22

30

4

我必须使用证书和私钥对 C# 中的一些数据进行数字签名。我使用的证书有一个自定义根 CA 以及一个自定义中间 CA。

我可以使用这样的代码来毫无问题地进行签名，如果根和中间 CA 安装到 Windows 证书存储中:

var content = new ContentInfo(manifest);
var cms = new SignedCms(content, true);
var signer = new CmsSigner(SubjectIdentifierType.SubjectKeyIdentifier, myCertificate);

signer.SignedAttributes.Add(new Pkcs9SigningTime(DateTime.Now));
cms.ComputeSignature(signer);

return cms.Encode();

不幸的是，我无法将根 CA 和中间 CA 安装到服务器的证书存储中(我使用的是 Azure Web 应用程序)。如果它们存储在磁盘上，我正在尝试找到一种使用根和中间 CA 证书进行签名的方法。我想我可以在调用 cms.Encode() 之前做这样的事情:

// add CAs from disk
var intermediateCACertificate = new X509Certificate2(@"pathToIntermediateCertificate.cer");
signer.Certificates.Add(intermediateCACertificate);

var rootCACertificate = new X509Certificate2(@"pathToRootCertificate.cer");
signer.Certificates.Add(rootCACertificate);

但是，当我执行此操作时，我得到一个 CryptographicException 抛出 “无法为受信任的根机构构建证书链。”。

是否可以使用非标准 CA 进行数字签名而不将它们安装到 Windows 证书存储中？

最佳答案

这是可能的。

基本上，从 SignedCms 类返回的 BLOB 除了签名本身之外，还能够包含任意数量的任意证书。通常这样做是为了至少包括消息签名所用的证书以及可能的任何其他中间证书，以便接收实体可以验证签名直到它信任的根证书。

当您调用上面的 signer.Certificates.Add() 调用时，您正在添加要在输出签名 BLOB 中编码的证书。但是，将证书添加到此集合中并不意味着对它们有任何形式的“信任”。

您遇到的问题是，默认情况下 .NET SignedCms 类试图通过自动包含典型情况下包含的证书来帮助您。默认情况下，它包括链中除根证书之外的所有证书。它通过尝试使用它在服务器的证书存储中找到的证书构建一个链来实现这一点，正如您所注意到的，当未安装根/中间 CA 的证书时，该链会失败。

证书链构建由 CmsSigner.IncludeOption 属性控制。默认值为 X509IncludeOption.ExcludeRoot。此值和 X509IncludeOption.WholeChain 都将在您的系统上失败，因为该类将无法基于证书存储中的内容构建链。

您可能想要执行的操作如下:

signer.IncludeOption = X509IncludeOption.EndCertOnly;
signer.Certificates.Add(intermediateCACertificate);
signer.Certificates.Add(rootCACertificate);

这将包括您要签名的证书(当您指定 EndCertOnly 时包括在内)以及显式添加的中间证书和根证书。 SignedCms 不会尝试构建证书链，因为它只需要包含一个已经提供的证书，因此不会抛出任何异常。

顺便说一句，你可以像这样得到与上面相同的结果:

signer.IncludeOption = X509IncludeOption.None;
signer.Certificates.Add(myCertificate);
signer.Certificates.Add(intermediateCACertificate);
signer.Certificates.Add(rootCACertificate);

在这种情况下，签名证书不会自动包含在内，但下一行明确地将其添加到集合中。

根据您的接收者信任的 CA，您可能不需要像上面那样将所有证书都包含在链中，并且您可以只包含签名证书。但是，我建议至少手动包括但不包括根目录，因为这是 .NET 默认行为。事实上，包含整个链也没有真正的危害，但出于所有意图和目的，接收方应该已经信任根 CA，否则 PKI 的整个概念就会崩溃。

关于c# - 使用 .NET 中的证书文件中的根 CA 进行数字签名，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/33904167/

30

4

0

文章推荐： python - 在Python中循环列表和嵌套列表

文章推荐： mysql时间戳比较问题

文章推荐： mysql - 如何在 MySQL 5.7 中获取每个月的特定日期间隔

文章推荐： c# - Unity3D/C# - 向游戏对象添加一个变量

java - 可以使用根 CA 或祖父 CA 验证证书而不使用父 CA
我正在尝试在 Java 中执行此操作，但我认为这是一个一般证书问题。我有一个根CA，一个由根CA颁发的中间CA1，一个由中间CA1颁发的中间CA2，以及一个由中间CA2颁发的证书。 rootCA ->
java - 信任 CA 和父 CA，但不信任其他派生 CA。 Java应用程序
编辑 1:https://security.stackexchange.com/questions/83972/trust-ca-and-parent-ca-but-not-other-derivat
ruby - 为什么 "CA"["CA"] 是真的？
我正在使用“任何？” block 中的方法。该片段正在字符串中查找字符串“CA”(拆分)检查: region="CA" check="AU,US,UK,CA,ZA" if check.split(',
SpringBoot, Hibernate and AWS RDS (Aurora) with new CA rds-ca-ecc384-g1(SpringBoot、休眠和AWS RDS(Aurora)以及新的CA rds-ca-ecc384-G1)
我有一个SpringBoot应用程序，它使用以下配置与PostgreSQL通信，通过AWS Beanstrik部署：。在我将AWS Aurora证书更新为rds-ca-ecc384-g1之前，一切都很
openssl - FreeIPA 外部 CA(中间 CA)
我们正在使用我们现有的 CA 进行 freeipa 安装。在安装过程中，会生成 CSR，并且必须由 CA 签名才能创建证书。这个证书必须有 X509v3 Basic Constraints: CA:T
apache - 如何使用第三方 CA-NOT 自签名 CA 生成客户端证书
我正在尝试导出客户端证书以供网络浏览器使用。目标是使用指令限制对管理区域的访问。我看过很多关于使用自签名 CA 的教程。你会如何使用第三方来做到这一点？ 1) 如果它是受信任的根 CA，我是否需要
c# - 区分根 CA 和中间 CA 证书
我已经设法弄清楚 x509Certificate2Collection 中的证书是否是证书颁发机构证书，但我如何才能安全地确定它是根证书还是中间证书？以下是否足够安全？ var collection
hyperledger-fabric - 无法使用结构中的 ca 服务器生成的 ca 文件启动排序器
我使用 fabric-ca-sdk(fabric-sdk-java/fabric-sdk-java/src/test/fixture/sdkintegration) 中的测试代码启动 ca 服务器。并
ssl - CA 证书仅添加在 ca-bundle-trust.crt
环境: Red Hat Enterprise Linux Server release 7.7 (Maipo) # openssl version OpenSSL 1.0.2g 1 Mar 2016
kubernetes - Kubernetes 集群 CA 证书和 ca 证书私钥的路径
导出 K8s 集群 CA 证书和 CA 私钥团队，我有一个 Kubernetes 集群正在运行。我将一次又一次地删除和创建它，所以我想一直重复使用相同的 CA 证书，我需要保存 CA 证书和 key
c++ - "unknown ca"带有自生成的 CA、证书和客户端/服务器
我正在编写一个自定义客户端和服务器，我想通过公共(public) Internet 安全地进行通信，因此我想使用 OpenSSL 并让两端进行对等验证以确保我的客户端不会被 MITM 误导，同样，未经
ubuntu - 在没有 ca-certificates 包的情况下将受信任的 CA 添加到 ubuntu
问题: 我想构建一个 docker 容器 FROM:ubuntu:20.04但我无法访问外部互联网我在内部网络上有一个 apt 镜像，可以使用 apt 镜像位于 https 后面，带有自定义证书我
linux - 编写一个命令来终止名称包含 "ca"的第一个进程？必须杀死名称中包含 "ca"的第一个进程，而不是其他进程？
Linux 的新手，正在尝试了解更多，我遇到了这种情况。我已经尝试使用 ps 命令并使用 grep 来捕获“ca”，但它会返回每次出现的“ca”，无论它来自什么，它实际上对我没有帮助。我已经尝试过
.net - .NET 中的 TLS - 第三方根 CA 未被识别为受信任的根 CA
我正在尝试在我的 .NET 应用程序和我安装了第三方根 CA 证书和中间 CA 证书的网站之间建立 TLS 连接: ServicePointManager.SecurityProtocol = Sec
java - 导入根 CA 或中间 CA 而不是单个公共(public)证书
SSL 证书永远不会让我眼花缭乱。我有一个网络应用程序，它从合作伙伴那里对另一项服务进行休息调用以获取某些数据。他们使用为公司生成的自签名或内部 CA。问题是每当另一端更新 SSL 证书时，我的应用程
security - 带有证书固定的移动应用程序 - DMZ 框上的 SSL 证书与受信任的 CA 对比我自己的 CA
我正在开发一个带有证书固定的移动应用程序。我将在 DMZ 中有一个盒子来代理我的请求。该服务器是否应该拥有来自可信 CA 的证书，还是我可以使用我自己的 CA 生成的证书？从移动客户端使用受信任的
ssl - acivemq、安全 websockets、CA、安全和同源限制 - 如何安装 CA 证书？
有没有人设法将 CA 证书安装到 activemq 实例中？我一直在进行谷歌搜索并阅读 activemq 文档，但我没有找到任何关于如何在 activemq 中使用预先存在的 CA 证书的信息。我假
ssl - openssl ca vs openssl x509(openssl ca 命令在证书上注册的不一样？)
openssl ca 和 openssl x509 命令有什么区别？我正在使用它来创建和签署我的 root-ca、intermed-ca 和客户端证书，但是 openssl ca 命令不会在证书上注册
security - WebLogic 上的(内部)CA 签名证书和我机器上的相同 CA 证书(公钥)。浏览器仍然不信任
在 keystore 中创建私钥和自签名证书 keytool -genkey -alias mydomain -keystore mydomain.ks -dname cn=mydomain.com
ssl - ca-certificates on a raspberry pi 3 - update-ca-certificates 图和错误
我的 Raspberry Pi 3 出了点问题。我不得不运行 fsck.ext3，但是很多包都损坏了，例如 python 等。现在，ca-certificates 不会重新安装。每当它运行 updat

首页

博学

6Ren·AI

商城

c# - 使用 .NET 中的证书文件中的根 CA 进行数字签名