这个功能其实并不常用,一般开发较少涉及到证书,不过,简单了解一下还是有必要的。
先来说说制作测试证书的方法,这里老周讲两种方法,可以生成用于测试的.pfx文件。
产生证书,大家都知道有个makecert工具。好,我们先用这个工具来生成一个证书,并存放到当前用户的证书存储中。打开VS的开发人员命令提示符,然后输入:
makecert -n "CN=中国好男人" -pe -sr CurrentUser -ss My -b 01/01/2016 -e 12/31/2018
-n 表示证书的标题名字,在系统的证书管理单元窗口中,它会显示在“颁发给”一列中,即证书是颁给谁的。在本例中,该荣誉证书主要颁发给中国好男人。
-pe 参数一定要加上,它表示我们能否导出证书的密钥(私钥),因为稍后我们要将证书导出为.pfx。
-sr 表示证书是作为用户证书还是本台计算机的证书。用户证书即CurrentUser,只有当前登录的用户可见;如果希望所有用户都可见,可以用LocalMachine,即本台计算机范围的证书。
-ss 表示证书存储目录,MY表示证书将安装到“个人”目录下。
-b -e 表示证书的有效期,这个不用多说。
命令执行完后。打开用户证书管理窗口,展开个人分支,就会看到刚刚创建的证书。
接下来就好办了,直接导出这个证书即可。在导出向导的第二页,记得选择“导出私钥”。
因为.pfx文件是可以包含私钥的。此时,进入下一步,会自动选择个人信息交换。
下面的几个复选项,你可按实际情况来决定,然后下一步,在安全选项页中,勾选密码,然后自己输入密码。
密码可以自己决定,比如我输入弱智密码1234。
接着选择.pfx文件的存放路径。
随后一路下一步,直到完成即可。
上面的方法是通过证书管理窗口来完成的,下面我们再看另一种方法,这种方法是完全用命令来完成的。除了必须的 makecert 工具外,还需要用到 cert2spc 和 pvk2pfx 这两个家伙。从名字上就可以知道它们是干吗的,cert2spc就是把证书文件(.cer)转化为spc文件,而pvk2pfx是将结合私钥文件和spc文件,最终输出.pfx文件。
第1步,产生证书和私钥文件。输入以下命令:
makecert -n "CN=中国好闺女" -pe -b 01/01/2016 -e 12/31/2017 -sv testkey.pvk test.cer
前面几个参数刚才说过了,-sv 表示密钥文件的名字,后缀名一般为.pvk,即私钥,最后的参数是证书的文件名,后缀是.cer。本命令是直接生成文件,而不是在证书存储区中。
执行后,首先弹出一个输入框,让你为pvk文件创建密码,比如,我依旧用弱智密码1234。
点OK确定后,会再次弹出一个输入框,这一次是要你输入你刚刚创建的密码,比如1234。
确定后,若无意外,证书和私钥文件已经生成,如下图所示。
确定这两个文件成功生成后,进入下一步。
第2步,把cer转为spc,输入命令:
cert2spc test.cer test.spc
第一个参数是待转的cer文件(证书),第二个参数是输出的spc文件。
命令执行后,会多了个test.spc文件。
第3步,利用上面生成的spc和pvk文件,生成pfx文件,输入命令:
pvk2pfx -pvk testkey.pvk -pi 1234 -spc test.spc -pfx test.pfx -po 123456
-pvk 是刚创建的pvk文件,-pi是pvk文件的密码,刚刚我设置了是1234;
-spc 是刚刚生成的spc文件的名字,-pfx是输出的pfx文件名,-po是新pfx的密码,我改为123456。
命令执行后,会看到多了个.pfx文件。
大功告成,现在,pfx文件已经有了,接下就是在UWP应用中导入证书了。
在干活之前,我们要知道,系统为每个APP创建一个独立的证书存储区,在应用安装时创建,在应用卸载时被删除。因此,每个应用的证书只能自己使用,不能访问其他应用的证书。如果希望让其他应用也能使用证书,就要用“共享用户证书”,被共享的证书会导入到当前系统的用户证书存储区中,所以,其他应用都可以访问,当然了,为了防止别有用心的人乱来,应用只有导入和读取的权限,不能写入和删除证书。
在Windows.Security.Cryptography.Certificates命名空间下,公开了几个与证书操作有关的类。经老周测试,不是所有的API都能用,有些API会发生异常,可能还没有完全实现吧,具体得看今年“红石”更新了,反正Win 10是不断累积更新的,这个道理,8000年前我们的祖先就懂了。
CertificateEnrollmentManager 类公开了N版重载的ImportPfxDataAsync方法,就是支持从.pf文件导入证书。
但是,你得注一个事:如果直接调用 CertificateEnrollmentManager 类的方法,表明导入的证书是存放在应用的独立存储区中,只能自己使用。
如果调用的是 CertificateEnrollmentManager.UserCertificateEnrollmentManager 下面的方法,说明证书是导入到用户存储区中,可以与其他应用共享。
好,下面来看一段导入证书的代码。
FileOpenPicker picker = new FileOpenPicker();
picker.FileTypeFilter.Add(".pfx");
StorageFile pfxFile = await picker.PickSingleFileAsync();
if (pfxFile != null)
{
// 将证书内容转为base64字符串
IBuffer buffer = await FileIO.ReadBufferAsync(pfxFile);
string cerB64 = CryptographicBuffer.EncodeToBase64String(buffer);
// 密码
string password = pwd.Password;
// 导入证书
if (chkUserCert.IsChecked == true)
{
// 导入到当前用户存储
await CertificateEnrollmentManager.UserCertificateEnrollmentManager.ImportPfxDataAsync(cerB64, password, ExportOption.Exportable, KeyProtectionLevel.NoConsent, InstallOptions.DeleteExpired, "GoodBoy");
}
else
{
// 导入到当前应用存储
await CertificateEnrollmentManager.ImportPfxDataAsync(cerB64, password, ExportOption.Exportable, KeyProtectionLevel.ConsentOnly, InstallOptions.DeleteExpired, "GoodBoy");
}
}
因为导入方法接收的是证书的base64字符串,所以打开.pfx文件后,要把它转化为base64字符串。
ImportPfxDataAsync方法的第一个参数是证书文件的base64字符串,第二个参数是密码,刚刚在使用pvk2pfx命令时,设置的密码是123456。
ExportOption.Exportable表示私钥可以导出,KeyProtectionLevel.NoConsent表示无需保护私钥,如果使用其他值,在导入时会弹出一个对话框,让用户设置一个密码来保护私钥。
InstallOptions.DeleteExpired表示如果证书过期就删除。
如果要共享用户证书。请打开清单文件,切换到 功能 选项卡,然后勾选“共享用户证书”。XML如下
<Capabilities>
……
<uap:Capability Name="sharedUserCertificates" />
</Capabilities>
如果证书导入到当前用户的证书区储中,可以打开用户证书管理窗口,展开“个人”分支,就会看到导入的证书。
好,今天的F话就讲到这里了,天气相当地热,记得多喝水,少喝点有毒饮料。