sql >> データベース >  >> RDS >> Sqlserver

ルート CA 署名者で自己署名証明書を生成する

    私の場合、makecert と openssl を回避する究極の解決策は、Powershell と BouncyCastle を使用することでした。 PSBouncyCastle から PSBouncyCastle リポジトリをフォークしました RLipscombe によって作成され、1.8.1 Bouncy Castle がプッシュされました。私のフォークされたバージョンは、スクリプトに使用したバージョンです。フォークは 分岐:PSBouncyCastle.New .

    次に StackOverflow:C# Generate Certificates on the Fly を使用しました 次の PowerShell を以下に記述するためのインスピレーションとして、これを GitHub に追加してコメントし、修正したらすぐに修正します :

    Import-Module -Name PSBouncyCastle.New
    
    function New-SelfSignedCertificate {
      [CmdletBinding()]
      param (
        [string]$SubjectName,
        [string]$FriendlyName = "New Certificate",
        [object]$Issuer,
        [bool]$IsCA = $false,
        [int]$KeyStrength = 2048,
        [int]$ValidYears = 2,
        [hashtable]$EKU = @{}
      )
    
      # Needed generators
      $random = New-SecureRandom
      $certificateGenerator = New-CertificateGenerator
    
      if($Issuer -ne $null -and $Issuer.HasPrivateKey -eq $true)
      {
        $IssuerName = $Issuer.IssuerName.Name
        $IssuerPrivateKey = $Issuer.PrivateKey
      }
      # Create and set a random certificate serial number
      $serial = New-SerialNumber -Random $random
      $certificateGenerator.SetSerialNumber($serial)
    
      # The signature algorithm
      $certificateGenerator.SetSignatureAlgorithm('SHA256WithRSA')
    
      # Basic Constraints - certificate is allowed to be used as intermediate.
      # Powershell requires either a $null or reassignment or it will return this from the function
      $certificateGenerator = Add-BasicConstraints -isCertificateAuthority $IsCA -certificateGenerator $certificateGenerator
    
      # Key Usage
      if($EKU.Count -gt 0) 
      {
        $certificateGenerator = $certificateGenerator | Add-ExtendedKeyUsage @EKU
      }
      # Create and set the Issuer and Subject name
      $subjectDN = New-X509Name -Name ($SubjectName)
      if($Issuer -ne $null) {
        $IssuerDN = New-X509Name -Name ($IssuerName)
      }
      else 
      {
        $IssuerDN = New-X509Name -Name ($SubjectName)
      }  
      $certificateGenerator.SetSubjectDN($subjectDN)
      $certificateGenerator.SetIssuerDN($IssuerDN)
    
      # Authority Key and Subject Identifier
      if($Issuer -ne $null)
      {
        $IssuerKeyPair = ConvertTo-BouncyCastleKeyPair -PrivateKey $IssuerPrivateKey
        $IssuerSerial = [Org.BouncyCastle.Math.BigInteger]$Issuer.GetSerialNumber()
        $authorityKeyIdentifier = New-AuthorityKeyIdentifier -name $Issuer.IssuerName.Name -publicKey $IssuerKeyPair.Public -serialNumber $IssuerSerial
        $certificateGenerator = Add-AuthorityKeyIdentifier -certificateGenerator $certificateGenerator -authorityKeyIdentifier $authorityKeyIdentifier
      }
    
      # Validity range of the certificate
      [DateTime]$notBefore = (Get-Date).AddDays(-1)
      if($ValidYears -gt 0) {
        [DateTime]$notAfter = $notBefore.AddYears($ValidYears)
      }
      $certificateGenerator.SetNotBefore($notBefore)
      $certificateGenerator.SetNotAfter($notAfter)
    
    
      # Subject public key ~and private
      $subjectKeyPair = New-KeyPair -Strength $keyStrength -Random $random
      if($IssuerPrivateKey -ne $null)
      {
        $IssuerKeyPair = [Org.BouncyCastle.Security.DotNetUtilities]::GetKeyPair($IssuerPrivateKey)
      }
      else 
      {
        $IssuerKeyPair = $subjectKeyPair
      }
      $certificateGenerator.SetPublicKey($subjectKeyPair.Public)
    
      # Create the Certificate
      $IssuerKeyPair = $subjectKeyPair
      $certificate = $certificateGenerator.Generate($IssuerKeyPair.Private, $random)
      # At this point you have the certificate and need to convert it and export, I return the private key for signing the next cert
      $pfxCertificate = ConvertFrom-BouncyCastleCertificate -certificate $certificate -subjectKeyPair $subjectKeyPair -friendlyName $FriendlyName
      return $pfxCertificate
    }
    

    この PowerShell の使用例は次のとおりです。

    ルート CA を生成する

    $TestRootCA = New-SelfSignedCertificate -subjectName "CN=TestRootCA" -IsCA $true
    Export-Certificate -Certificate $test -OutputFile "TestRootCA.pfx" -X509ContentType Pfx
    

    標準の自己署名を生成

    $TestSS = New-SelfSignedCertificate -subjectName "CN=TestLocal"
    Export-Certificate -Certificate $TestSS -OutputFile "TestLocal.pfx" -X509ContentType Pfx
    

    証明書を生成し、ルート証明書で署名します

    $TestRootCA = New-SelfSignedCertificate -subjectName "CN=TestRootCA" -IsCA $true
    $TestSigned = New-SelfSignedCertificate -subjectName "CN=TestSignedByRoot" -issuer $TestRootCA
    
    Export-Certificate -Certificate $test -OutputFile "TestRootCA.pfx" -X509ContentType Pfx
    Export-Certificate -Certificate $test -OutputFile "TestRootCA.pfx" -X509ContentType Pfx
    

    特定の用途で自己署名を生成する

    $TestServerCert = New-SelfSignedCertificate -subjectName "CN=TestServerCert" -EKU @{ "ServerAuthentication" = $true }
    

    -EKU パラメーターはスプラッティングを介して受け入れることに注意してください。これは、Add-ExtendedKeyUsage に追加されたものが有効に渡されることを保証するために行われます。次の証明書の使用法を受け入れます:

    • デジタル署名
    • 否認防止
    • 鍵の暗号化
    • データ暗号化
    • KeyAgreement
    • KeyCertSign
    • CrlSign
    • 暗号化のみ
    • DecipherOnly

    これは私のニーズに合っており、動的環境に使用しているすべての Windows プラットフォームで機能するようです。



    1. php mysqlを介してjsonデータを保存および読み取る方法は?

    2. Crypt()ソルト生成とパスワード暗号化、うまく実行されましたか?

    3. com.microsoft.sqlserver.jdbc.SQLServerException:ホストlocalhost、ポート1433へのTCP/IP接続に失敗しました

    4. Oracle SQLでグループ化する方法。ただし、後日グループが繰り返される場合は複数の行があります