如何解决为什么CertificateRequest的PublicKey.Key与私钥不在同一提供程序中?
我使用以下方法创建证书请求:
CertificateRequest req = new CertificateRequest(
"cn=test",Key,HashAlgorithmName.SHA256,RSASignaturePadding.Pkcs1);
key是通过CSP设置的:
ProviderName:“ Utimaco CryptoServer CSP”
KeyContainerName:“默认容器”
但是在调试时,我发现req.PublicKey.Key.CspKeyContainerInfo引用了另一个提供程序:
ProviderName:“ Microsoft增强型RSA和AES密码提供程序”
KeyContainerName:空
当我尝试获得Exportable值时:
var isExportable = ((RSACryptoServiceProvider)req.PublicKey.Key).CspKeyContainerInfo.Exportable;
它抛出一个CryptographicException:密钥不存在
我不明白为什么私钥和公钥分别存储在不同的提供程序中? 还是这意味着其他?
解决方法
TL; DR该提供程序设置为通用RSA提供程序,但请注意KeyContainerName是null。这仅仅是因为它只是在内存中生成的,而不是存储在任何地方。
证书签名请求(CSR)是从应用程序内部创建的公共文件。此时与私钥的“唯一”关系是:
- 需要包含公共密钥;
- 需要用私钥签名(以表明您在创建CSR时可以访问它,并保护它不受更改);
为此,它从密钥对中加载公钥,从中创建未签名的CSR,然后使用私钥对其进行签名。 除此之外,CSR仅用于请求实际证书。并不需要简单地将CSR /私钥存储在HSM中。 反映在以下事实上:例如PKCS#11根本没有任何CSR概念。
请注意,失去CSR的风险很小,您可以随时重新创建。另外,如果有人在将CSR发送到CA之前就已经进入了CSR,那么它将被签名验证捕获(否则您将获得带有错误公共密钥的无效证书,请始终确保对此进行了验证并发送尽快完成CSR)。
当您收到实际证书时,将其存储在HSM中是很有意义的。通常,存储到根的整个证书链是因为协议(包括TLS和CMS)中经常需要中间证书。毕竟,它们用于每个签名创建-希望您不要将专用对用于创建签名的PKI之外。
许多HSM确实提供了存储通用数据的规定。尽管您可以在其中放置CSR,但它只是一个通用存储;密钥存储库本身不会将CSR与私钥链接,因此您最好将其保存在存储库中,希望在某些只有密钥管理者具有写访问权的受保护位置。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
