.NET Conf

Zarządzanie certyfikatami X.509 oraz Transport Layer Security (TLS) w środowisku .NET Framework to kluczowy aspekt budowy nowoczesnych i bezpiecznych aplikacji. W tym artykule znajdziesz szczegółową analizę metod tworzenia, przechowywania oraz rotacji certyfikatów cyfrowych w ekosystemie .NET – zarówno od strony teoretycznej, jak i praktycznej implementacji. Omówimy klasy X509Certificate2 i X509Store, sposoby automatycznej i ręcznej rotacji certyfikatów oraz najlepsze praktyki bezpieczeństwa. Przedstawimy także wyzwania towarzyszące integracji z Azure Key Vault, Windows Certificate Store i walidacji łańcuchów certyfikatów w środowiskach rozproszonych.

Spis treści [odkryj]

Podstawy certyfikatów X.509 i architektury TLS w .NET

Certyfikaty X.509 są fundamentem infrastruktury klucza publicznego (PKI) w .NET Framework i gwarantują integralność danych, uwierzytelnianie oraz szyfrowanie komunikacji. Obsługa certyfikatów w .NET odbywa się za pomocą przestrzeni nazw System.Security.Cryptography.X509Certificates, a kluczowe są klasy takie jak X509Certificate2, X509Store i X509Chain.

Na strukturę certyfikatu X.509 według standardu RFC 3280 składają się trzy główne składniki:

  • tbsCertificate,
  • signatureAlgorithm,
  • signatureValue.

Implementacja TLS w .NET opiera się na klasie X509Certificate2 umożliwiającej pełne zarządzanie cyklem życia certyfikatu – od generowania, przez walidację, aż po usuwanie. Certyfikaty zaczytuje się z pliku, atrybutów bajtowych albo magazynu, a obsługa operacji kryptograficznych jest szeroko wspierana.

Walidacja odbywa się poprzez X509Chain i bazuje na systemowym magazynie zaufanych certyfikatów głównych. Gdy brakuje certyfikatu głównego w magazynie, wymagane jest implementowanie własnego mechanizmu weryfikacji łańcucha.

Od wersji .NET 5 możliwe jest użycie niestandardowego magazynu zaufania (CreateCustomRootRemoteValidator), co pozwala uzyskać wyższy poziom bezpieczeństwa i kontrolę.

Zweryfikowanie tożsamości stron w TLS odbywa się także poprzez RemoteCertificateValidationCallback. W narzędziach takich jak RabbitMQ .NET funkcjonalność dostarcza parametr RabbitMQ.client.SslOption.CertificateValidationCallback.

Magazyny certyfikatów w systemie Windows

Windows posiada rozbudowaną i zaawansowaną strukturę przechowywania certyfikatów, która umożliwia zarządzanie certyfikatami w wielu lokalizacjach i dla różnych użytkowników oraz aplikacji. Dwa główne typy magazynów to:

  • Local Machine Certificate Store – magazyn globalny dla komputera (HKEY_LOCAL_MACHINE),
  • Current User Certificate Store – użytkownika aktualnie zalogowanego (HKEY_CURRENT_USER).

Certyfikaty oraz powiązane z nimi klucze są w systemie Windows przechowywane w różnych lokalizacjach rejestru:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates – dla komputera,
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EnterpriseCertificates – publikowane przez Active Directory,
  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates – przez Group Policy dla urządzenia,
  • HKEY_CURRENT_USER\Software\Microsoft\SystemCertificates – dla bieżącego użytkownika,
  • HKEY_CURRENT_USER\Software\Policies\Microsoft\SystemCertificates – przez Group Policy dla użytkownika,
  • HKEY_Users\User SID\Software\Microsoft\SystemCertificates – dla danego użytkownika SID.

Fizycznie dane te zapisywane są najczęściej w bezpiecznych folderach systemowych: %APPDATA%\Microsoft\SystemCertificates (dla użytkownika) i C:\ProgramData\Microsoft\SystemCertificates (dla maszyny). Dostęp programowy zapewnia klasa X509Store, umożliwiająca wyszukiwanie, pobieranie i dodawanie certyfikatów według wybranych kryteriów.

Programowe zarządzanie certyfikatami w .NET Framework

W środowisku .NET kluczową rolę odgrywa klasa X509Certificate2, która pozwala na pełne zarządzanie certyfikatami:

  • odczyt z pliku lub pamięci,
  • obsługa rozszerzeń i klucza prywatnego,
  • wyszukiwanie, pobieranie i eksport certyfikatów z magazynów,
  • obsługa operacji: walidacja, podpisywanie, szyfrowanie.

Często stosowanym scenariuszem jest wyświetlanie właściwości certyfikatu (np. Subject, Issuer, NotBefore, NotAfter, HasPrivateKey) oraz wyszukiwanie jednoznaczne za pomocą thumbprint lub subject key identifier.

Dostęp do magazynu maszyny (Local Machine Store) wymaga odpowiednich uprawnień. Przykładem jest CertificateService.GetCertificateFromLocalMachineStore eksportująca certyfikaty w formacie PKCS12, czy zarządzanie poprzez WCF z serializacją w PKCS12 (byte[]).

Tworzenie i generowanie certyfikatów w środowisku .NET

W .NET możesz użyć różnych sposobów generowania certyfikatów. Najważniejsze z nich to:

  • Samopodpisany certyfikat – szybkie rozwiązanie, np. poprzez New-SelfSignedCertificate w PowerShell,
  • Certyfikat wystawiony przez CA – wymaga utworzenia żądania CSR oraz kontaktu z urzędem certyfikacji,
  • OpenSSL lub inne narzędzia zewnętrzne – generują klucze i certyfikaty, instalowane później na serwerze.

Samopodpisane certyfikaty generuje się np. w PowerShell z opcjami KeyUsage, Subject itp., a eksportuje do plików PFX lub CER, zabezpieczonych hasłem. Cały proces można zautomatyzować za pomocą skryptów PowerShell – AzureMfa, NPS czy mechanizmy auto-instalacji certyfikatów i restartowania usług.

Mechanizmy rotacji i odnowienia certyfikatów

Regularna rotacja certyfikatów jest kluczowa, by zapewnić ciągłość bezpieczeństwa, zaufania oraz zgodności z regulacjami. Jeśli pracujesz w chmurze, Azure Key Vault pozwala na automatyzację procesu rotacji przy zachowaniu pełnej kontroli. Główne zalety regularnej rotacji certyfikatów to:

  • ciągłość zaufania,
  • większe bezpieczeństwo,
  • spełnienie wymagań audytowych i compliance.

Mechanizmy auto-enrollment i auto-renewal oparte są o Group Policy oraz szablony certyfikatów. Automatyczny proces odnowienia przeprowadzany jest przy przekroczeniu określonego czasu ważności (np. 80%). Azure Local pozwala zautomatyzować rotację komendą Start-SdnCertificateRotation, z opcją -Force wyłączającą tryb interaktywny.

Azure App Configuration umożliwia odwoływanie się do kluczy i wartości przetrzymywanych w Key Vault. Aplikacje mogą automatycznie uzyskać nowe certyfikaty podczas rotacji bez restartowania systemu.

Bezpieczeństwo i najlepsze praktyki w zarządzaniu certyfikatami

Zarządzanie certyfikatami X.509 w .NET wymaga przestrzegania kluczowych zasad bezpieczeństwa:

  • Prawidłowe przechowywanie kluczy i certyfikatów na bezpiecznych nośnikach (dysk, smartcard, token USB), używając Windows Certificate Store;
  • Zarządzanie uprawnieniami dostępu – podział machine store (dla administratorów i aplikacji systemowych) oraz user store (dla użytkowników);
  • Nigdy nie wyłączaj walidacji certyfikatów w produkcji – stanowi to krytyczne ryzyko dla bezpieczeństwa;
  • Niestandardowa walidacja przez RemoteCertificateValidationCallback lub CreateCustomRootRemoteValidator (.NET 5);
  • Monitorowanie cyklu życia certyfikatów – Microsoft.Identity.Web 2.15.0 pozwala na śledzenie wyboru/rotacji certyfikatu przez ICertificatesObserver;
  • Automatyczne odnowienie w Key Vault – właściwa konfiguracja polityki odnowienia, monitoring i alertowanie błędów;
  • Rotacja w Azure AD – manifest aplikacji z trustedCertificateSubjects i wsparcie rotacji (send x5c).

Zaawansowane scenariusze wykorzystania certyfikatów w .NET

W zaawansowanych środowiskach kluczowa bywa integracja z zewnętrznymi systemami zarządzania kluczami oraz automatyzacją procesów. Przykładowe przypadki użycia obejmują:

  • Keyfactor Command – kompleksowa orkiestracja zarządzania certyfikatami (automatyczna/manualna rejestracja, import, obsługa wielu magazynów – Java keystore, PEM, F5 REST);
  • RabbitMQ .NET – pełna konfiguracja TLS przez Parameters.Ssl, m.in. Ssl.CertPath, Ssl.CertPassphrase, Ssl.Enabled;
  • Azure Logic Apps – dodawanie certyfikatów publicznych do zasobów i konfiguracja WEBSITE_LOAD_ROOT_CERTIFICATES;
  • Azure App Service (Azure Stack Hub) – zarządzanie i rotacja poprzez portal Azure;
  • Microsoft Defender for IoT – osobny certyfikat dla każdego urządzenia (np. .key, .crt);
  • Microsoft Base Cryptographic Provider v1.0 – obsługa licznych algorytmów kryptograficznych (DES, HMAC, MD2, MD5, SHA1 itd.).

Integracja z Azure Key Vault i zarządzanie chmurowe

Azure Key Vault stanowi centralny element architektury bezpieczeństwa .NET, umożliwiając pełne zarządzanie certyfikatami, kluczami oraz sekretami w chmurze. Dzięki automatyzacji rotacji certyfikatów zapewnisz zgodność i bezpieczeństwo danych. Key Vault potrafi automatycznie odnowić zbliżające się do wygaśnięcia certyfikaty, z opcją ręcznej akceptacji przed wdrożeniem.

Proces konfiguracji zaczyna się od wygenerowania/importu certyfikatu do Key Vault (portal Azure → Certificates → Generate/Import) oraz ustawienia polityki odnowienia (określ wskazanego wystawcę, np. „auto-renew at 80%”).

Azure App Configuration zintegrowany z Azure Key Vault umożliwia aplikacjom automatyczne pobieranie nowszych wersji sekretów oraz certyfikatów – bez potrzeby restartowania aplikacji podczas rotacji.

Automatyczne odświeżanie certyfikatów/secrets może odbywać się w dwojaki sposób:

  • poprzez aktualizację sentinela (sentinel key) – natychmiastowe odświeżenie wszystkich sekretów/certyfikatów,
  • w formie cyklicznej (pakiet Microsoft.Azure.AppConfiguration.AspNetCore umożliwia harmonogramowane odświeżanie wybranych wartości bez interwencji manualnej).

Monitoring cyklu życia certyfikatów oraz automatyczne reagowanie na zdarzenia możliwe jest dzięki Azure Monitor, Azure Event Grid, Logic Apps i pozwala podłączać automatyczne scenariusze biznesowe.