【发布时间】:2017-12-30 02:21:57
【问题描述】:
我正在尝试创建一个 X.509 证书文件,该文件将使用 smtp4dev 项目中的以下代码:
var certificate = new X509Certificate(Settings.Default.SSLCertificatePath);
var clientCertificateRequired = false;
var protocols = SslProtocols.Ssl2 | SslProtocols.Ssl3 | SslProtocols.Tls;
var checkRevocation = false;
var stream = new SslStream(stream);
stream.AuthenticateAsServer(certificate, clientCertificateRequired, protocols, checkRevocation);
Settings.Default.SSLCertificatePath 指向一个 .cer 文件。
无论我尝试什么,都会失败,并带有 System.NotSupportedException 消息:
服务器模式 SSL 必须使用带有相关私钥的证书。
我在提升的 PowerShell 会话中使用 New-SelfSignedCertificate PowerShell CommandLet 创建了 X509 证书:
New-SelfSignedCertificate `
-DnsName "localhost" `
-CertStoreLocation "cert:\CurrentUser\My" `
-FriendlyName "smtp4dev" `
-TextExtension "2.5.29.37={text}1.3.6.1.5.5.7.3.1" `
-KeyUsage DigitalSignature,KeyEncipherment,DataEncipherment `
-Provider "Microsoft RSA SChannel Cryptographic Provider"
我添加了这些选项以尽可能地镜像已存储在我的机器上并且由 IIS Express 安装程序生成的证书。因为那个特定的证书确实有效,虽然我不知道为什么。
这两个证书都位于Local Computer > Personal 证书存储中。对于这两个证书,证书管理器都提到“您有一个与此证书对应的私钥”。
当我比较这两个证书的属性时,smtp4dev 证书与 IIS Express 开发证书在以下 3 个方面不同(除了指纹和序列号):
- Key Usage 被标记为关键扩展
- 主题备用名称扩展名,值为
DNS Name=localhost - 主题键标识符扩展,值为
e7 12 f5 ...
我使用证书管理器将没有私钥的两个证书作为“Base-64 编码 x.509 (.CER)”文件导出到我的桌面。 (包含私钥会将导出格式限制为 smtp4dev 不支持的 PKCS #12 (.PFX)。)
以这种方式导出证书后,当我双击它们时,都没有显示关于拥有私钥的消息。
只有 IIS Express 开发证书适用于本问题开头显示的代码。 smtp4dev 没有。
我尝试过的其他事情:
我经常遇到使用
makecert的教程,但我没有那个程序。我尝试使用由
openssl生成的自签名证书,并且只将Common Name设置为localhost,但我得到了相同的异常(“服务器模式 SSL 必须使用具有关联的证书私钥”)。-
更改代码以使用 X509Certificate2 不是一种选择,因为要获得另一个应用了补丁的 smtp4dev 版本会很耗时,因为该项目似乎没有积极开发。
实际上可以尝试不同的证书文件格式(例如 PFX),只要我将文件重命名为 .cer,我就可以欺骗 smtp4dev 使用该证书。这允许我在证书中包含私钥。它适用于 IIS Express 开发证书的导出,但不适用于 smtp4dev 证书的导出。
【问题讨论】:
-
您可以使用 certutil -v -store my 添加证书详细信息吗?另外,.pfx/.p12 是支持存储私钥的扩展。如果我使用 .cer 证书,我希望会引发上述异常,因为它没有私钥。
-
@KaushalKumarPanday 它适用于“IIS Express 开发证书”,我也将其导出为 .cer 文件。所以这不是问题。
-
这很有趣。因此,如果私钥没有发挥作用,那么您需要查看加密提供者。
标签: .net windows ssl x509certificate smtp4dev