10

我有一个 ASP.NET Web 服务,它正在接收一个字节数组,该数组表示.pfx包含 X.509 证书的文件的内容。服务器端代码使用System.Security.Cryptography.X509Certificate2构造函数从字节加载证书:

X509Certificate2 native_cert = new X509Certificate2(
                pkcs12_buf /*byte array*/,
                password,
                X509KeyStorageFlags.PersistKeySet |
                X509KeyStorageFlags.Exportable
            );

根据我的服务进程以谁的身份运行,此调用要么成功,要么因“内部错误”异常而失败。异常堆栈上的最后一次调用是 to X509Utils._LoadCertFromBlob,它是mscore.dll.

此代码在使用服务帐户凭据在交互式登录中从控制台应用程序运行时成功。w3wp.exe在使用服务帐户凭据的应用程序池中运行时,它会失败。将应用程序池身份更改为管理员可以解决问题,因此它一定是权限问题,但我不知道为此可能需要什么权限。该代码不涉及文件系统或 Windows 证书存储。

[更新:更多信息]
此错误出现在 Windows 事件日志中:

*Cryptographic Parameters:*   
**Provider Name:**  Microsoft Software Key Storage Provider  
**Algorithm Name:** Not Available.  
**Key Name:**   {E182E13B-166D-472A-A24A-CBEF0808E9ED}  
    **Key Type:**   User key.

*Cryptographic Operation:*  
**Operation:**  Open Key.  
    **Return Code:**    0x2

有任何想法吗?

4

2 回答 2

9

我自己刚刚找到了解决方案:

X509KeyStorageFlags flags = X509KeyStorageFlags.PersistKeySet | X509KeyStorageFlags.MachineKeySet;

X509Certificate2 cert = new X509Certificate2(pkcs12_buf, password, flags);

这里的技巧是使用本地密钥存储MachineKeySet标志而不是用户配置文件密钥存储,如果您不指定替代位置,这是默认设置。因为 ASP.NET 进程标识不加载用户配置文件存储,所以在以编程方式导入证书时无法访问存储,但可以访问机器存储。

我认为PersistKeySet只是保持加载私钥,但我不确定它究竟做了什么 - 如果您出于某种原因需要访问私钥,这是必需的。

于 2009-02-27T05:28:35.170 回答
2

尝试授予 ASP.NET 帐户对以下文件夹的权限:(C:\Documents And Settings\All Users\Microsoft\Crypto\RSA\MachineKeys\可能因您的环境而异)

于 2009-02-17T19:56:33.777 回答