.NET為我們提供了操作數(shù)字證書的兩個(gè)主要的類，分為為：

System.Security.Cryptography.X509Certificates.X509Certificate2類， 每個(gè)這個(gè)類的實(shí)例可以表示一個(gè)證書；

System.Security.Cryptography.X509Certificates.X509Store類，可以對(duì)保存在計(jì)算機(jī)安全區(qū)域內(nèi)的證書進(jìn)行add/remove/get操作。

另外我們可以使用System.Security.Cryptography.X509Certificates.X509Certificate2UI類來顯示證書消息的對(duì)話框，它就是在IE中的證書查看器的.NE實(shí)現(xiàn)。

生成證書

在介紹以上類的使用方法之前，我們先要擁有一個(gè)數(shù)字證書，獲取數(shù)字證書有三種方法，一是從CA機(jī)構(gòu)申請(qǐng)，二是自己搭建服務(wù)器發(fā)布證書，三是使用makecert.exe來生成一個(gè)證書文件。這里我們使用makecert.exe來生成一個(gè)證書文件，用來測(cè)試。啟動(dòng)VS2010的命令行，輸入對(duì)應(yīng)參數(shù)，生成名為TestCertificates的證書文件。如圖6-28所示。

圖6-28 生成證書

makecert.exe的參數(shù)讀者可以查看幫助，這里只解釋圖6-28中的參數(shù)。

參數(shù)說明：

-sr CurrentUser：指定主題的證書存儲(chǔ)位置。Location 可以是 currentuser（默認(rèn)值）或 localmachine

-ss MyTestContainer：指定主題的證書存儲(chǔ)名稱，輸出證書即存儲(chǔ)在那里。

-n CN=TestCert：指定主題的證書名稱。此名稱必須符合 X.500 標(biāo)準(zhǔn)。最簡單的方法是在雙引號(hào)中指定此名稱，并加上前綴 CN=；例如，"CN=myName"。

-sky exchange：指定頒發(fā)者的密鑰類型，必須是 signature、exchange 或一個(gè)表示提供程序類型的整數(shù)。默認(rèn)情況下，可傳入 1 表示交換密鑰，傳入 2 表示簽名密鑰。

-pe：將所生成的私鑰標(biāo)記為可導(dǎo)出。這樣可將私鑰包括在證書中。

生成的密鑰文件被保存在了我們指定的MyTestContainer中，但到哪去查看我們的證書呢？Windows沒有給我們準(zhǔn)備好直接的管理證書的入口，但我們可以在MMC控制臺(tái)自行添加。

1. 開始  運(yùn)行  MMC，打開一個(gè)空的MMC控制臺(tái)。
2. 在控制臺(tái)菜單，文件  添加/刪除管理單元  添加按鈕  選"證書"  添加  選"我的用戶賬戶"  關(guān)閉  確定
3. 在控制臺(tái)菜單，文件  添加/刪除管理單元  添加按鈕  選"證書"  添加  選"計(jì)算機(jī)賬戶"  關(guān)閉  確定

如圖6-29，我們可以查看兩個(gè)賬戶的證書管理，在我的賬戶中可以看到MyTestContainer下的證書TestCert。

圖6-29 在MMC控制臺(tái)查看和管理證書

當(dāng)然我們也可以將證書文件保存為文件，如圖6-30所示。

圖6-30 將證書保存為文件

打開E盤，可以看到生成的證書文件。如圖6-31所示。

圖6-31 生成的證書文件

將證書保存為文件時(shí)，我們有三種選擇：

1. 帶有私鑰的證書

   由Public Key Cryptography Standards #12，PKCS#12標(biāo)準(zhǔn)定義，包含了公鑰和私鑰的二進(jìn)制格式的證書形式，以pfx作為證書文件后綴名。

2. 二進(jìn)制編碼的證書

   證書中沒有私鑰，DER 編碼二進(jìn)制格式的證書文件，以cer作為證書文件后綴名。

3. Base64編碼的證書

   證書中沒有私鑰，BASE64 編碼格式的證書文件，也是以cer作為證書文件后綴名。

右鍵單擊本地的證書文件，我們可以看到安裝選項(xiàng)，可以把該證書文件安裝到證書存儲(chǔ)區(qū)。也可在MMC的證書管理臺(tái)上執(zhí)行導(dǎo)出任務(wù)將存儲(chǔ)區(qū)的證書導(dǎo)出為文件。這里就不再演示了，讀者可以自行實(shí)踐。

編程操作證書

我們可以通過編程的方式操作操作本地的證書文件和在存儲(chǔ)區(qū)中的證書。我們以剛才保存在E盤的test.cer文件為例，講解如何讀取本地的證書文件，并將它添加到存儲(chǔ)區(qū)中。先看代碼清單6-17。

代碼清單 6-17 操作本地證書文件

class OperCert  
{  
internal static byte[] ReadFile(string fileName)  
{  
FileStream f = new FileStream(fileName, FileMode.Open, FileAccess.Read);  
int size = (int)f.Length;  
byte[] data = new byte[size];  
size = f.Read(data, 0, size);  
f.Close();  
return data;  
}  
static void Main(string[] args)  
{  
try 
{  
X509Certificate2 x509 = new X509Certificate2();  
byte[] rawData = ReadFile(@"e:\test.cer");  
x509.Import(rawData);  
Console.WriteLine("{0}Subject: {1}{0}", Environment.NewLine, x509.Subject);  
Console.WriteLine("{0}Issuer: {1}{0}", Environment.NewLine, x509.Issuer);  
Console.WriteLine("{0}Version: {1}{0}", Environment.NewLine, x509.Version);  
Console.WriteLine("{0}Valid Date: {1}{0}", Environment.NewLine, x509.NotBefore);  
Console.WriteLine("{0}Expiry Date: {1}{0}", Environment.NewLine, x509.NotAfter);  
Console.WriteLine("{0}Thumbprint: {1}{0}", Environment.NewLine, x509.Thumbprint);  
Console.WriteLine("{0}Serial Number: {1}{0}", Environment.NewLine, x509.SerialNumber);  
Console.WriteLine("{0}Friendly Name: {1}{0}", Environment.NewLine, x509.PublicKey.Oid.FriendlyName);  
Console.WriteLine("{0}Public Key Format: {1}{0}", Environment.NewLine, x509.PublicKey.EncodedKeyValue.Format(true));  
Console.WriteLine("{0}Raw Data Length: {1}{0}", Environment.NewLine, x509.RawData.Length);  
Console.WriteLine("{0}Certificate to string: {1}{0}", Environment.NewLine, x509.ToString(true));  
Console.WriteLine("{0}Certificate to XML String: {1}{0}", Environment.NewLine, x509.PublicKey.Key.ToXmlString(false));  
X509Store store = new X509Store();  
store.Open(OpenFlags.MaxAllowed);  
store.Add(x509);  
store.Close();  
}  
catch (Exception e)  
{  
Console.WriteLine("Error:"+e.Message);  
}  
}  
} 

代碼清單6-17演示了如何讀取本地證書文件的方法。靜態(tài)方法ReadFile用來從本地磁盤中讀取證書文件到byte數(shù)組中。主要的操作都在Main方法中。X509Certificate2 x509 = new X509Certificate2()一句使用無參數(shù)的構(gòu)造函數(shù)初始化X509Certificate2類的實(shí)例x509。然后我們使用x509.Import(rawData)語句將byte數(shù)組導(dǎo)入到當(dāng)前證書實(shí)例。接下來是輸出該證書的信息。

輸出信息之后，我們看下面的四行代碼：

X509Store store = new X509Store();  
store.Open(OpenFlags.MaxAllowed);  
store.Add(x509);  
store.Close(); 

首先我們初始化一個(gè)X509Store類的實(shí)例store，然后使用Open方法打開存儲(chǔ)區(qū)，添加上面讀取的證書到存儲(chǔ)區(qū)。

X509Certificate2一共提供了14個(gè)構(gòu)造函數(shù)供我們使用，這里就不一一介紹了。我們也可以通過X509Certificate2類的構(gòu)造函數(shù)直接導(dǎo)入本地的證書文件，可以使用代碼清單6-18所示的方式。

代碼清單6-18 使用構(gòu)造函數(shù)導(dǎo)入證書文件

X509Certificate2 myX509Certificate2 = new X509Certificate2(  
@"e:\MyTestCert.pfx", //證書路徑  
"password", //證書的私鑰保護(hù)密碼  
X509KeyStorageFlags.Exportable //表示此證書的私鑰以后還可以導(dǎo)出  
); 

代碼清單6-18給出了如何導(dǎo)入帶私鑰保護(hù)密碼的證書的方法。X509KeyStorageFlags 枚舉用來標(biāo)識(shí)X.509 證書的私鑰導(dǎo)出到何處以及如何導(dǎo)出。該枚舉的成員說明如表6-1所示。

表6-1 X509KeyStorageFlags 枚舉說明

那么如何操作存儲(chǔ)區(qū)中的證書呢，可以使用代碼清單6-19的方式。

代碼清單6-19 操作存儲(chǔ)區(qū)中的證書

X509Store store = new X509Store(StoreName.My, StoreLocation.CurrentUser);  
store.Open(OpenFlags.ReadOnly);  
//輪詢存儲(chǔ)區(qū)中的所有證書  
foreach(X509Certificate2 myX509Certificate2 in store.Certificates)  
{  
//將證書的名稱跟要導(dǎo)出的證書MyTestCert比較,找到要導(dǎo)出的證書  
if (myX509Certificate2.Subject == "CN=TestCert")  
{  
//證書導(dǎo)出到byte[]中，password為私鑰保護(hù)密碼  
byte[] CertByte = myX509Certificate2.Export(X509ContentType.Pfx,"password");  
//將證書的字節(jié)流寫入到證書文件  
FileStream fStream = new FileStream(  
@"C:\Samples\PartnerAEncryptMsg\MyTestCert_Exp.pfx",  
FileMode.Create,  
FileAccess.Write);  
fStream.Write(CertByte, 0, CertByte.Length);  
fStream.Close();  
}  
}  
store.Close(); 

代碼清單6-19首先聲明X509Store類的實(shí)例store，使用了兩個(gè)參數(shù)的構(gòu)造函數(shù)，第一個(gè)參數(shù)是存儲(chǔ)容器的名稱，StoreName枚舉只能枚舉系統(tǒng)默認(rèn)的存儲(chǔ)區(qū)名稱。第二個(gè)參數(shù)是StoreLocation枚舉，用來標(biāo)識(shí)是本機(jī)證書還是當(dāng)前用戶證書。導(dǎo)出容器證書使用的是Export方法。第一個(gè)參數(shù)X509ContentType.Pfx表示要導(dǎo)出為含有私鑰的pfx證書形式，第二個(gè)參數(shù)為私鑰保護(hù)密碼。如果要導(dǎo)出為不含私鑰的cer證書，第一個(gè)參數(shù)使用X509ContentType.Cert，表示導(dǎo)出為不含私鑰的cer證書，也就不需要密碼了。

創(chuàng)建發(fā)行者證書

發(fā)行者證書是驗(yàn)證發(fā)行者可靠性的證書文件，保護(hù)證書發(fā)行者的簽名。我們可以從證書頒發(fā)機(jī)構(gòu)獲得該文件。做為程序測(cè)試，我們可以使用Cert2spc.exe來生成發(fā)行者證書。從命令行啟動(dòng)該程序，如圖6-32所示。

圖6-32 生成SPC文件

如圖6-32，我們使用Cert2spc.exe以test.cer為參數(shù)生成目標(biāo)為tset.spc的發(fā)行者證書，如果存在多個(gè)證書文件，可以作為參數(shù)以空格隔開生成統(tǒng)一的發(fā)行者證書。

使用證書對(duì)文件簽名

簽名工具 (SignTool.exe) 是一個(gè)命令行工具，用于對(duì)文件進(jìn)行數(shù)字簽名，驗(yàn)證文件或時(shí)間戳文件中的簽名。我們可以對(duì)cab文件、dll文件或者其他文件進(jìn)行簽名，從互聯(lián)網(wǎng)訪問這些文件的時(shí)候就需要安裝和驗(yàn)證證書。該工具詳細(xì)的說明讀者可以從MSDN上找到，我就不在重復(fù)了。

原文標(biāo)題：在.NET中操作數(shù)字證書(新手教程)  

鏈接：http://www.cnblogs.com/xuanhun/archive/2010/06/20/1761560.html

【編輯推薦】

1. 使用ASP.NET 4的自動(dòng)啟動(dòng)特性
2. 詳解.NET 4.0并行計(jì)算支持歷史
3. 詳讀.NET 4.0環(huán)境配置
4. 詳解.NET 4.0中異常處理方面的新特性
5. 三方面詮釋.NET 4.0的新特性