【Win 10 应用开发】导入.pfx证书

作者: 小麦

更新时间:2022-03-26 13:14:03

397 阅读

这个功能其实并不常用,一般开发较少涉及到证书,不过,简单了解一下还是有必要的。

先来说说制作测试证书的方法,这里老周讲两种方法,可以生成用于测试的.pfx文件。

产生证书,大家都知道有个makecert工具。好,我们先用这个工具来生成一个证书,并存放到当前用户的证书存储中。打开VS的开发人员命令提示符,然后输入:

makecert -n "CN=中国好男人" -pe -sr CurrentUser -ss My -b 01/01/2016 -e 12/31/2018

-n 表示证书的标题名字,在系统的证书管理单元窗口中,它会显示在“颁发给”一列中,即证书是颁给谁的。在本例中,该荣誉证书主要颁发给中国好男人。

-pe 参数一定要加上,它表示我们能否导出证书的密钥(私钥),因为稍后我们要将证书导出为.pfx。

-sr 表示证书是作为用户证书还是本台计算机的证书。用户证书即CurrentUser,只有当前登录的用户可见;如果希望所有用户都可见,可以用LocalMachine,即本台计算机范围的证书。

-ss 表示证书存储目录,MY表示证书将安装到“个人”目录下。

-b -e 表示证书的有效期,这个不用多说。

 

命令执行完后。打开用户证书管理窗口,展开个人分支,就会看到刚刚创建的证书。

 

接下来就好办了,直接导出这个证书即可。在导出向导的第二页,记得选择“导出私钥”。

 

因为.pfx文件是可以包含私钥的。此时,进入下一步,会自动选择个人信息交换。

 

下面的几个复选项,你可按实际情况来决定,然后下一步,在安全选项页中,勾选密码,然后自己输入密码。

密码可以自己决定,比如我输入弱智密码1234。

 

接着选择.pfx文件的存放路径。

随后一路下一步,直到完成即可。

 

上面的方法是通过证书管理窗口来完成的,下面我们再看另一种方法,这种方法是完全用命令来完成的。除了必须的 makecert 工具外,还需要用到 cert2spc 和 pvk2pfx 这两个家伙。从名字上就可以知道它们是干吗的,cert2spc就是把证书文件(.cer)转化为spc文件,而pvk2pfx是将结合私钥文件和spc文件,最终输出.pfx文件。

第1步,产生证书和私钥文件。输入以下命令:

makecert -n "CN=中国好闺女" -pe -b 01/01/2016 -e 12/31/2017 -sv testkey.pvk test.cer

前面几个参数刚才说过了,-sv 表示密钥文件的名字,后缀名一般为.pvk,即私钥,最后的参数是证书的文件名,后缀是.cer。本命令是直接生成文件,而不是在证书存储区中。

执行后,首先弹出一个输入框,让你为pvk文件创建密码,比如,我依旧用弱智密码1234。

 

点OK确定后,会再次弹出一个输入框,这一次是要你输入你刚刚创建的密码,比如1234。

 

确定后,若无意外,证书和私钥文件已经生成,如下图所示。

确定这两个文件成功生成后,进入下一步。

 

第2步,把cer转为spc,输入命令:

cert2spc test.cer test.spc

第一个参数是待转的cer文件(证书),第二个参数是输出的spc文件。

命令执行后,会多了个test.spc文件。

 

第3步,利用上面生成的spc和pvk文件,生成pfx文件,输入命令:

pvk2pfx -pvk testkey.pvk -pi 1234 -spc test.spc -pfx test.pfx -po 123456

-pvk 是刚创建的pvk文件,-pi是pvk文件的密码,刚刚我设置了是1234;

-spc 是刚刚生成的spc文件的名字,-pfx是输出的pfx文件名,-po是新pfx的密码,我改为123456。

命令执行后,会看到多了个.pfx文件。

 

大功告成,现在,pfx文件已经有了,接下就是在UWP应用中导入证书了。

 

在干活之前,我们要知道,系统为每个APP创建一个独立的证书存储区,在应用安装时创建,在应用卸载时被删除。因此,每个应用的证书只能自己使用,不能访问其他应用的证书。如果希望让其他应用也能使用证书,就要用“共享用户证书”,被共享的证书会导入到当前系统的用户证书存储区中,所以,其他应用都可以访问,当然了,为了防止别有用心的人乱来,应用只有导入和读取的权限,不能写入和删除证书。

 

在Windows.Security.Cryptography.Certificates命名空间下,公开了几个与证书操作有关的类。经老周测试,不是所有的API都能用,有些API会发生异常,可能还没有完全实现吧,具体得看今年“红石”更新了,反正Win 10是不断累积更新的,这个道理,8000年前我们的祖先就懂了。

 

CertificateEnrollmentManager 类公开了N版重载的ImportPfxDataAsync方法,就是支持从.pf文件导入证书。

但是,你得注一个事:如果直接调用 CertificateEnrollmentManager 类的方法,表明导入的证书是存放在应用的独立存储区中,只能自己使用。

如果调用的是 CertificateEnrollmentManager.UserCertificateEnrollmentManager 下面的方法,说明证书是导入到用户存储区中,可以与其他应用共享。

 

好,下面来看一段导入证书的代码。

            FileOpenPicker picker = new FileOpenPicker();
            picker.FileTypeFilter.Add(".pfx");
            StorageFile pfxFile = await picker.PickSingleFileAsync();
            if (pfxFile != null)
            {
                // 将证书内容转为base64字符串
                IBuffer buffer = await FileIO.ReadBufferAsync(pfxFile);
                string cerB64 = CryptographicBuffer.EncodeToBase64String(buffer);
                // 密码
                string password = pwd.Password;

                // 导入证书
                if (chkUserCert.IsChecked == true)
                {
                    // 导入到当前用户存储
                    await CertificateEnrollmentManager.UserCertificateEnrollmentManager.ImportPfxDataAsync(cerB64, password, ExportOption.Exportable, KeyProtectionLevel.NoConsent, InstallOptions.DeleteExpired, "GoodBoy");
                }
                else
                {
                    // 导入到当前应用存储
                    await CertificateEnrollmentManager.ImportPfxDataAsync(cerB64, password, ExportOption.Exportable, KeyProtectionLevel.ConsentOnly, InstallOptions.DeleteExpired, "GoodBoy");
                }
            }

 

因为导入方法接收的是证书的base64字符串,所以打开.pfx文件后,要把它转化为base64字符串。

ImportPfxDataAsync方法的第一个参数是证书文件的base64字符串,第二个参数是密码,刚刚在使用pvk2pfx命令时,设置的密码是123456。

ExportOption.Exportable表示私钥可以导出,KeyProtectionLevel.NoConsent表示无需保护私钥,如果使用其他值,在导入时会弹出一个对话框,让用户设置一个密码来保护私钥。

 

InstallOptions.DeleteExpired表示如果证书过期就删除。

 

如果要共享用户证书。请打开清单文件,切换到 功能 选项卡,然后勾选“共享用户证书”。XML如下

  <Capabilities>
    ……
    <uap:Capability Name="sharedUserCertificates" />
  </Capabilities>

 

 

如果证书导入到当前用户的证书区储中,可以打开用户证书管理窗口,展开“个人”分支,就会看到导入的证书。

 

好,今天的F话就讲到这里了,天气相当地热,记得多喝水,少喝点有毒饮料。

 

示例代码下载地址

 

版权声明:本文著作权归作者【小麦 】所有,不代表本网站立场。

侵权请联系:root_email@163.com