Получение альтернативных имен субъектов с помощью Pkcs10CertificationRequest

В настоящее время я могу декодировать значения CSR, кроме запрошенных расширений, в частности X509v3 Subject Alternative Name. Вот соответствующая часть моего `DecodeCSR (строка csr):

public void DecodeCsr(string csrStr){
//getting just csr
var csrChars = Regex.Replace(csrStr, @"-----[^-]+-----", "").Trim().Replace(" ", "").Replace(Environment.NewLine, "").ToCharArray();
//converting that string into a byte array
byte[] csrEncode = Convert.FromBase64CharArray(csrChars, 0, csrChars.Length);
//giving decodeCsr the byte array
Pkcs10CertificationRequest decodeCsr = new Pkcs10CertificationRequest(csrEncode);
//getting a string of subject information
string subject = decodeCsr.GetCertificationRequestInfo().Subject.ToString();
//here's how I'm getting a DerSet of attribute
DerSet atts = (DerSet)decodeCsr.GetCertificationRequestInfo().Attributes;
}

Вот тестовый csr с SAN:

string csr = "-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----";

Информация, которую я могу получить от decodeCsr.GetCertificationRequestInfo().Attributes, представляет собой Org.BouncyCastle.Asn1.DerSet, который выглядит так:

DerSet atts = (DerSet)decodeCsr.GetCertificationRequestInfo().Attributes;

Вот как это выглядит в режиме отладки (изображение всего объекта ниже):

atts    {[[1.2.840.113549.1.9.14, [[[2.5.29.17, #3026820a61757374696e2e636f6d820b61757374696e322e636f6d820b61757374696e342e636f6d]]]]]} Org.BouncyCastle.Asn1.DerSet

Я вижу DerOctetString в режиме отладки, однако понятия не имею, как к нему добраться. Я считаю, что если я смогу зайти так далеко, ответ Хьюго может быть применим, есть DerOctetStringParser, но на данный момент мне нечего ему дать.

Я пытался рассматривать atts как удаленную строку, OID получают значение, точно такое же, как DerOctetString в режиме отладки, и преобразуют его в DerOctetString, что не сработало, и я не верю, что этот ответ хорошо масштабируется.


c# x509 bouncycastle csr subject-alternative-name
person Austin Mauldin    schedule 29.06.2017    source источник
comment
Я мог прочитать его с помощью BouncyCastle для Java (используя, как мне кажется, эквивалентные классы и методы: PKCS10CertificationRequest и getAttributes) — атрибуты содержат запрос на расширение (OID 1.2.840.113549.1.9.14), и я мог прочитать из него DNS-имена. Может быть, есть разница в реализации С#, которая не получает эти атрибуты? Я не знаю.   -  person    schedule 29.06.2017
comment
@hugo это ответ, они были там. Я не знаю, как прочитать OID запроса на расширение во что-то значимое, хотя...   -  person Austin Mauldin    schedule 29.06.2017
comment
Я не пишу код на C#, но могу написать ответ с версией Java, если хотите. API кажутся эквивалентными.   -  person    schedule 29.06.2017
comment
@Hugo это начало, я, вероятно, смогу найти эквивалент C # и отредактировать свой код в вашем ответе   -  person Austin Mauldin    schedule 29.06.2017

Ответы (2)


arrow_upward
3
arrow_downward

Я заставил его работать со следующим кодом:

public static void DecodeCsr(string csr)
{
    csr = Regex.Replace(csr, @"-----[^-]+-----", String.Empty).Trim().Replace(" ", "").Replace(Environment.NewLine, "");

    PemObject pem = new PemObject("CSR", Convert.FromBase64String(csr));
    Pkcs10CertificationRequest request = new Pkcs10CertificationRequest(pem.Content);
    CertificationRequestInfo requestInfo = request.GetCertificationRequestInfo();

    // an Attribute is a collection of Sequence which contains a collection of Asn1Object
    // let's find the sequence that contains a DerObjectIdentifier with Id of "1.2.840.113549.1.9.14"
    DerSequence extensionSequence = requestInfo.Attributes.OfType<DerSequence>()
                                                          .First(o => o.OfType<DerObjectIdentifier>()
                                                                       .Any(oo => oo.Id == "1.2.840.113549.1.9.14"));

    // let's get the set of value for this sequence
    DerSet extensionSet = extensionSequence.OfType<DerSet>().First();

    // estensionSet = [[2.5.29.17, #30158208746573742e636f6d820974657374322e636f6d]]]
    // extensionSet contains nested sequence ... let's use a recursive method 
    DerOctetString str = GetAsn1ObjectRecursive<DerOctetString>(extensionSet.OfType<DerSequence>().First(), "2.5.29.17");

    GeneralNames names = GeneralNames.GetInstance(Asn1Object.FromByteArray(str.GetOctets()));
    Console.WriteLine(names.ToString());
}

static T GetAsn1ObjectRecursive<T>(DerSequence sequence, String id) where T : Asn1Object
{
    if (sequence.OfType<DerObjectIdentifier>().Any(o => o.Id == id))
    {
        return sequence.OfType<T>().First();
    }

    foreach (DerSequence subSequence in sequence.OfType<DerSequence>())
    {
        T value = GetAsn1ObjectRecursive<T>(subSequence, id);
        if (value != default(T))
        {
            return value;
        }
    }

    return default(T);
}

Сложность заключается в том, что BouncyCastle работает с коллекцией везде, а запрошенное значение находится внутри вложенной вложенной коллекции. Я использую рекурсивную функцию, потому что не уверен, что ваш CSR всегда будет иметь это значение как вложенное.

person Cyril Durand    schedule 31.07.2017
comment
Большое спасибо, я застрял на этом некоторое время. - person Austin Mauldin; 01.08.2017

arrow_upward
3
arrow_downward

Как просили в комментариях, вот версия Java (с Bouncy Castle 1.57).

Одна деталь заключается в том, что мне пришлось отформатировать ваш CSR, чтобы он заработал (я не мог прочитать его, когда все в одной строке):

-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----

Вот как я мог прочитать атрибуты из CSR:

import org.bouncycastle.asn1.ASN1ObjectIdentifier;
import org.bouncycastle.asn1.DEROctetString;
import org.bouncycastle.asn1.DERSequence;
import org.bouncycastle.asn1.pkcs.Attribute;
import org.bouncycastle.asn1.x509.GeneralNames;
import org.bouncycastle.pkcs.PKCS10CertificationRequest;
import org.bouncycastle.util.io.pem.PemObject;
import org.bouncycastle.util.io.pem.PemReader;

String csr = // Base 64 CSR
PemReader reader = new PemReader(new StringReader(csr));
PemObject object = reader.readPemObject();
reader.close();

PKCS10CertificationRequest req = new PKCS10CertificationRequest(object.getContent());

Attribute[] attributes = req.getAttributes();
for (Attribute at : attributes) {
    if ("1.2.840.113549.1.9.14".equals(at.getAttrType().getId())) { // extension request
        // there's a sequence inside another sequence
        DERSequence seq = (DERSequence) at.getAttrValues().getObjectAt(0);
        seq = (DERSequence) seq.getObjectAt(0);

        ASN1ObjectIdentifier oid = (ASN1ObjectIdentifier) seq.getObjectAt(0);
        if ("2.5.29.17".equals(oid.getId())) { // 2.5.29.17 = subject alternative name
            DEROctetString str = (DEROctetString) seq.getObjectAt(1);

            GeneralNames names = GeneralNames.getInstance(str.getOctets());
            System.out.println(names.toString());
        }
    }
}

Результат:

GeneralNames:
    2: test.com
    2: test2.com

Тег 2 — это dnsName (как указано в RFC 5280).

PS: этот код представляет собой простую версию, которая предполагает наличие только одного значения атрибута (когда я вызываю at.getAttrValues().getObjectAt(0)). Если есть больше атрибутов, вероятно, getAttrValues() будет иметь больше элементов, и цикл будет лучше, чем просто получение первого элемента.

person Community    schedule 29.06.2017
comment
на основе вашего массива атрибутов я получил такие атрибуты: var decoded = decodeCsr.GetCertificationRequestInfo().Attributes или Asn1Encodable[] decoded = decodeCsr.GetCertificationRequestInfo().Attributes.ToArray(); и независимо от того, как я обрабатываю этот объект, я всегда получаю эту строку {[[1.2.840.113549.1.9.14, [[[2.5.29.17, #30158208746573742e636f6d820974657374322e636f6d] ]]]]} это как-то закодировано? Если это общий вывод, я всегда могу написать регулярное выражение для разделения этой строки, которую я встаю - person Austin Mauldin; 29.06.2017
comment
Я думаю, что лучше пройтись по этому массиву и проверить типы объектов, пока не получите строку октетов, подобно тому, как это сделал я (получить последовательность, проверить элементы и т. д.). В java есть класс Asn1Dump (не уверен, что он доступен в C#), который сообщает вам структуру asn1, поэтому вам не нужно угадывать типы. Обычно я предпочитаю не полагаться на строковые представления в подобных случаях. - person ; 29.06.2017
comment
Я не могу просмотреть массив, так как эта строка {[[1.2.840.113549.1.9.14, [[[2.5.29.17, #30158208746573742e636f6d820974657374322e636f6d]]]]]} является единственным объектом в этом массиве или decoded[0]. Я просматриваю свои Asn1Objects, чтобы посмотреть, могу ли я что-нибудь использовать из BouncyCastle.Asn1 - person Austin Mauldin; 29.06.2017
comment
Нет способа получить эти атрибуты как объекты? Если нет, то я не вижу другого пути, кроме разбора строки. - person ; 29.06.2017
comment
Я пробовал как Attributes.GetObject(), так и Attributes.GetEnumerator(), оба приводят к недопустимым исключениям операций. Я, вероятно, могу разобрать строки, но я чувствую, что должно быть что-то еще, что я мог бы использовать. - person Austin Mauldin; 29.06.2017
comment
Я могу получить Attributes.GetDerEncoded(), что приводит к байту[51] - person Austin Mauldin; 29.06.2017
comment
Вы можете попытаться построить объект из этого массива байтов. Обычно я использую Asn1InputStream — не знаю, что эквивалентно в С#. - person ; 29.06.2017
comment
Давайте продолжим это обсуждение в чате. - person Austin Mauldin; 29.06.2017