Как преобразовать текстовый файл CSR в .NET Core/Standard CertificateRequest для подписи?

Много подобных вопросов, но я не вижу хорошего ответа.

У меня есть облачное приложение с агентом, установленным на сайтах клиентов в полевых условиях. Я хочу, чтобы агент после установки генерировал CSR и загружал запрос через HTTPS в облачную службу, где я подписывал его сертификатом облачной службы (которому агент будет доверять) и возвращал подписанный сертификат. Этот сертификат будет использоваться для аутентификации агента, шифрования и подписи файлов.

Я могу сделать CSR довольно легко:

    public string GenerateAgentCsr(Guid customerId)
    {
        var domain = System.Net.NetworkInformation.IPGlobalProperties.GetIPGlobalProperties().DomainName;
        var domainDistinguishedName = string.Join(",DC=", domain.Split("."));
        var distinguishedName = $"DC={Environment.MachineName},DC={domainDistinguishedName},O={customerId}";
        var rsa = RSA.Create(1024);
        var request = new CertificateRequest(distinguishedName, rsa, HashAlgorithmName.SHA256,
            RSASignaturePadding.Pkcs1);
        request.CertificateExtensions.Add(new X509BasicConstraintsExtension(false, false, 0, false));
        request.CertificateExtensions.Add(new X509KeyUsageExtension(
            X509KeyUsageFlags.DigitalSignature | X509KeyUsageFlags.DataEncipherment |
            X509KeyUsageFlags.NonRepudiation, false));

        var armored = request.AsCsr();
        return armored;
    }

    public static string AsCsr(this CertificateRequest request)
    {
        var encoded = request.CreateSigningRequest();
        var payload = Convert.ToBase64String(encoded);
        using var stream = new MemoryStream();
        using (var writer = new StreamWriter(stream, Encoding.UTF8, 512, true))
        {
            writer.WriteLine("-----BEGIN CERTIFICATE REQUEST-----");
            writer.WriteLine(payload.Slice());
            writer.WriteLine("-----END CERTIFICATE REQUEST-----");
            writer.Flush();
        }

        stream.Position = 0;
        using (var reader = new StreamReader(stream))
        {
            return reader.ReadToEnd();
        }
    }

...поэтому я могу отправить это на облачный сервер, но тут же сталкиваюсь с проблемой. Мой план состоял в том, чтобы иметь такой метод:

    public X509Certificate2 SignCertificate(CertificateRequest csr)
    {
        var signedCert = csr.Create(GetCertificateAuthorityCertificate(), DateTimeOffset.Now, DateTimeOffset.Now.AddYears(10),
            new byte[] { 1, 2, 3, 4 });
        return signedCert;
    }

... но я не могу преобразовать CSR в CertificateRequest. Не существует Parse механизма или конструктора, который позволил бы это сделать.

Итак... когда у меня есть CSR, как мне правильно проанализировать и подписать его с помощью моего сертификата облачной службы, чтобы я мог отправить его обратно агенту?

28.01.2021

Ответы:

Единственный способ, которым типы помогут вам заполнить объект CertificateRequest, — это чтение данных с помощью System.Formats.Asn1.AsnReader.

Подписание запроса на сертификат является важным решением. Используются ли в запросе только те имена, которые ему разрешено использовать? Продвигает ли он себя к другому выдающему центру сертификации? Есть ли запрошенные расширения, смысл которых вам непонятен? Он претендует на роль центра TimeStamp, сертификата подписи кода или любого другого ограниченного назначения?

Подписывая внешний запрос, вы пытаетесь быть настоящим центром сертификации. Вы делаете отзыв? Вы регистрируете выдачу?

.NET имеет SubjectAlternativeNameBuilder для помощи в построении расширений SAN, но не имеет хорошего способа прочитать их обратно... потому что SubjectAlternativeName намного сложнее, чем они обычно используются. Так что нет хорошего способа ответить на вопрос об именах.

Гораздо более ограниченная версия этого, если вы используете контролируемый доступ, будет заключаться в передаче только значения SubjectPublicKeyInfo открытого ключа (и любой другой информации, которую вы хотите включить) в вашем собственном формате (см. также rsa.ExportSubjectPublicKeyInfo()). Тогда вы знаете, что вас не просят сделать что-то, чего вы не хотите делать. К сожалению, PublicKey.CreateFromSubjectPublicKeyInfo появилось в .NET 6 впервые. К счастью, это просто:

private static PublicKey CreateFromSubjectPublicKeyInfo(ReadOnlyMemory<byte> data)
{
    AsnReader reader = new AsnReader(data, AsnEncodingRules.DER);
    AsnReader spki = reader.ReadSequence();
    reader.ThrowIfNotEmpty();

    AsnReader algorithmIdentifier = spki.ReadSequence();
    string algOid = algorithmIdentifier.ReadObjectIdentifier();
    ReadOnlyMemory<byte> algParameters = default;

    if (algOid.HasData)
    {
        algParameters = algorithmIdentifier.ReadEncodedValue();
    }

    algorithmIdentifier.ThrowIfNotEmpty();

    byte[] publicKey = spki.ReadBitString(out _);
    spki.ThrowIfNotEmpty();

    return new PublicKey(
        new Oid(algOid, null),
        algParameters.ToArray(),
        publicKey);
}

28.01.2021

Идея заключалась бы в том, чтобы управлять отзывом, да ... Я могу в конечном итоге просто сделать самоподписанный с открытыми ключами, этого может быть достаточно для того, что я пытаюсь выполнить. 28.01.2021

Новые материалы

Кластеризация: более глубокий взгляд

Кластеризация — это метод обучения без учителя, в котором мы пытаемся найти группы в наборе данных на основе некоторых известных или неизвестных свойств, которые могут существовать. Независимо от..

Как написать эффективное резюме

Предложения по дизайну и макету, чтобы представить себя профессионально Вам не позвонили на собеседование после того, как вы несколько раз подали заявку на работу своей мечты? У вас может..

Частный метод Python: улучшение инкапсуляции и безопасности

Введение Python — универсальный и мощный язык программирования, известный своей простотой и удобством использования. Одной из ключевых особенностей, отличающих Python от других языков, является..

Как я автоматизирую тестирование с помощью Jest

Шутка для победы, когда дело касается автоматизации тестирования Одной очень важной частью разработки программного обеспечения является автоматизация тестирования, поскольку она создает..

Работа с векторными символическими архитектурами, часть 4 (искусственный интеллект)

Hyperseed: неконтролируемое обучение с векторными символическими архитектурами (arXiv) Автор: Евгений Осипов , Сачин Кахавала , Диланта Хапутантри , Тимал Кемпития , Дасвин Де Сильва ,..

Понимание расстояния Вассерштейна: мощная метрика в машинном обучении

В обширной области машинного обучения часто возникает необходимость сравнивать и измерять различия между распределениями вероятностей. Традиционные метрики расстояния, такие как евклидово..

Обеспечение масштабируемости LLM: облачный анализ с помощью AWS Fargate и Copilot

В динамичной области искусственного интеллекта все большее распространение получают модели больших языков (LLM). Они жизненно важны для различных приложений, таких как интеллектуальные..

Machine Learning JavaScript Blockchain Artificial Intelligence Data Science Cryptocurrency Software Development Python Web Development Coding Deep Learning AI Bitcoin React Software Engineering Ethereum Web3 Business Crypto Nodejs Solidity Development Front End Development Data Finance Money Java Trading Typescript Smart Contracts Productivity Tech Startup Investing Neural Networks Developer Computer Science NLP