C# - 인증서 및 키 파일로부터 pfx/p12 파일을 생성하는 방법
도구를 사용해서 인증서 및 개인키 파일, 그리고 그것들로부터 pfx 파일을 생성하는 것을 전에도 몇 번 다룬 적이 있습니다.
인증서 관련(CER, PVK, SPC, PFX) 파일 만드는 방법
; https://www.sysnet.pe.kr/2/0/863
JKS(Java Key Store)에 저장된 인증서를 ActiveX 코드 서명에 사용하는 방법
; https://www.sysnet.pe.kr/2/0/882
.keystore 파일에 저장된 개인키 추출방법과 인증기관으로부터 온 공개키를 합친 pfx 파일 만드는 방법
; https://www.sysnet.pe.kr/2/0/1262
Docker Desktop for Windows - kubectl proxy 없이 k8s 대시보드 접근 방법
; https://www.sysnet.pe.kr/2/0/12593#cert
이번에는 프로그래밍으로 생성하는 방법을 다뤄보겠습니다. ^^
우선, 지난 글에서 이미 키 파일을 로드하는 방법에 대해 알아봤습니다.
openssl의 PEM 개인키 파일을 .NET RSACryptoServiceProvider에서 사용하는 방법 (2)
; https://www.sysnet.pe.kr/2/0/12598
이제 남은 작업이라면, 인증서 파일을 로드 후 그것으로부터 pfx/p12 파일을 생성하기만 하면 됩니다.
실습을 위해 키와 인증서 데이터를 모두 가지고 있는
Kubernetes의 kubeconfig 파일을 예로 들 텐데요, 따라서 kubconfig 파일에 등록된 사용자의 client-certificate-data, client-key-data를 읽어 우리가 사용할 수 있는 .NET 타입으로 다음과 같이 변환할 수 있습니다.
// Install-Package KubernetesClient
string path = Environment.ExpandEnvironmentVariables(@"%USERPROFILE%\.kube\config");
KubernetesClientConfiguration config = KubernetesClientConfiguration.BuildConfigFromConfigFile(path);
// client-key-data로부터 RSACryptoServiceProvider 인스턴스 생성
string userKey = Encoding.UTF8.GetString(Convert.FromBase64String(config.ClientCertificateKeyData));
RSACryptoServiceProvider rsa = PemKeyUtils.GetRSAProviderFromPem(userKey, isPrivate: true);
// client-certificate-data로부터 X509Certificate2 인스턴스 생성
X509Certificate2 cert = new X509Certificate2(Convert.FromBase64String(config.ClientCertificateData));
그래서 위의 cert, rsa 인스턴스를 조합해 pfx/.p12 파일을 만드는 것이 가능하겠으나,
// How do I create a PKCS12 .p12 file in C#?
// ; https://stackoverflow.com/questions/2039364/how-do-i-create-a-pkcs12-p12-file-in-c
cert.PrivateKey = rsaKey;
byte [] pfx = cert.Export(X509ContentType.Pkcs12, "...password...");
아쉽게도 .NET Core 부터는 위와 같이 하는 경우 set_PrivateKey 단계에서 "System.PlatformNotSupportedException: Operation is not supported on this platform." 예외가 발생합니다.
어쩔 수 없군요, 다시 BouncyCastle의 힘에 의지하면, ^^
Install-Package BouncyCastle
다음과 같이 간단하게 pfx 파일을 만들 수 있습니다.
static void Main(string[] args)
{
string path = Environment.ExpandEnvironmentVariables(@"%USERPROFILE%\.kube\config");
KubernetesClientConfiguration config = KubernetesClientConfiguration.BuildConfigFromConfigFile(path);
string userKey = Encoding.UTF8.GetString(Convert.FromBase64String(config.ClientCertificateKeyData));
byte [] userCrt = Convert.FromBase64String(config.ClientCertificateData);
StringReader sr = new StringReader(userKey);
PemReader pemReader = new PemReader(sr);
AsymmetricCipherKeyPair keyPair = pemReader.ReadObject() as AsymmetricCipherKeyPair;
AsymmetricKeyParameter KeyParameter = keyPair.Private;
X509CertificateParser p = new X509CertificateParser();
X509Certificate cert = p.ReadCertificate(userCrt);
Pkcs12Store store = new Pkcs12StoreBuilder().Build();
AsymmetricKeyEntry keyEntry = new AsymmetricKeyEntry(KeyParameter);
X509CertificateEntry certEntry = new X509CertificateEntry(cert);
// alias == Friendly Name
store.SetKeyEntry("myCert", keyEntry, new X509CertificateEntry[] { certEntry });
using (FileStream fs = File.OpenWrite("test.pfx"))
{
store.Save(fs, password: "test".ToCharArray(), new SecureRandom());
}
}
실제로 저렇게 해서 출력한 test.pfx를 탐색기에서 두 번 클릭해 인증서를 정상적으로 등록할 수 있습니다.
하는 김에, 인증서를 등록하는 부분도 코드로 자동화를 해볼까요? ^^ 이 부분은 전에 소개한 글이 있으므로,
C# - 인증서를 윈도우에 설치하는 방법
; https://www.sysnet.pe.kr/2/0/11719
최종 소스 코드는 다음과 같이 조합할 수 있습니다.
using k8s;
using Org.BouncyCastle.Crypto;
using Org.BouncyCastle.OpenSsl;
using Org.BouncyCastle.Pkcs;
using Org.BouncyCastle.Security;
using Org.BouncyCastle.X509;
using System;
using System.IO;
using System.Security;
using System.Security.Cryptography.X509Certificates;
using System.Text;
namespace ConsoleApp1
{
class Program
{
static void Main(string[] args)
{
string path = Environment.ExpandEnvironmentVariables(@"%USERPROFILE%\.kube\config");
KubernetesClientConfiguration config = KubernetesClientConfiguration.BuildConfigFromConfigFile(path);
string userKey = Encoding.UTF8.GetString(Convert.FromBase64String(config.ClientCertificateKeyData));
byte [] userCrt = Convert.FromBase64String(config.ClientCertificateData);
StringReader sr = new StringReader(userKey);
PemReader pemReader = new PemReader(sr);
AsymmetricCipherKeyPair keyPair = pemReader.ReadObject() as AsymmetricCipherKeyPair;
AsymmetricKeyParameter KeyParameter = keyPair.Private;
X509CertificateParser p = new X509CertificateParser();
Org.BouncyCastle.X509.X509Certificate cert = p.ReadCertificate(userCrt);
Pkcs12Store store = new Pkcs12StoreBuilder().Build();
AsymmetricKeyEntry keyEntry = new AsymmetricKeyEntry(KeyParameter);
X509CertificateEntry certEntry = new X509CertificateEntry(cert);
// alias == Friendly Name
store.SetKeyEntry("myCert", keyEntry, new X509CertificateEntry[] { certEntry });
char[] password = "test".ToCharArray();
/* .pfx/.p12 파일로 저장
using (FileStream fs = File.OpenWrite("test.pfx"))
{
store.Save(fs, password, new SecureRandom());
}
*/
// C# - 인증서를 윈도우에 설치하는 방법
// ; https://www.sysnet.pe.kr/2/0/11719
using (MemoryStream ms = new MemoryStream())
{
store.Save(ms, password, new SecureRandom());
byte[] pfxBytes = ms.ToArray();
unsafe
{
fixed (char* ptr = password)
{
SecureString secureText = new SecureString(ptr, password.Length);
X509Store certStore = new X509Store(StoreName.My, StoreLocation.CurrentUser);
certStore.Open(OpenFlags.ReadWrite);
certStore.Add(new X509Certificate2(pfxBytes, secureText));
certStore.Close();
}
}
}
}
}
}
(
첨부 파일은 이 글의 예제 코드를 포함합니다.)
부가적으로, 다음의 "Chilkat .NET" 라이브러리를 사용한 방법도 있습니다.
Chilkat .NET - (C#) Create .pfx/.p12 from Certificate and Private Key PEM Files
; https://www.example-code.com/csharp/pfx_create_from_pem_files.asp
그렇긴 한데, 재미있게도 "KubernetesClient"를 사용하는 경우라면 어차피 해당 패키지가 BouncyCastle에 의존하고 있으므로 별도의 라이브러리를 다시 추가할 의미가 없습니다.
[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]