So legen Sie die Leseberechtigung für die private Schlüsseldatei des X.509-Zertifikats von .NET fest

Hier ist der code zum hinzufügen einer pfx-das Cert-store.

X509Store store = new X509Store( StoreName.My, StoreLocation.LocalMachine );
store.Open( OpenFlags.ReadWrite );
X509Certificate2 cert = new X509Certificate2( "test.pfx", "password" );
store.Add( cert );
store.Close();

Allerdings, ich konnte nicht einen Weg finden, die Erlaubnis für NetworkService Zugriff auf den privaten Schlüssel.

Kann jemand etwas Licht? Vielen Dank im Voraus.

InformationsquelleAutor der Frage Ray Lu | 2009-01-08

  1. 16

    Tun es programmatisch, müssen Sie drei Dinge tun:

    1. Holen Sie sich den Pfad zu dem privaten Schlüssel Ordner.

    2. Holen Sie sich den Dateinamen des privaten Schlüssels in diesem Ordner.

    3. Fügen Sie die Berechtigung für diese Datei.

    Sehen dieser Beitrag für einige Beispiel-code, die alle drei nicht (insbesondere Blick auf die "AddAccessToCertificate" - Methode).

    InformationsquelleAutor der Antwort Eric Rosenberger

  2. 41

    Diese Antwort ist spät, aber ich wollte es posten für jemand anderes, der kommt Suche hier:

    Fand ich eine MSDN-blog-Artikel, gab eine Lösung, die mit CryptoKeySecurity hierund hier ist ein Beispiel für eine Lösung in C#:

    var rsa = certificate.PrivateKey as RSACryptoServiceProvider;
if (rsa != null)
{
    //Modifying the CryptoKeySecurity of a new CspParameters and then instantiating
    //a new RSACryptoServiceProvider seems to be the trick to persist the access rule.
    //cf. http://blogs.msdn.com/b/cagatay/archive/2009/02/08/removing-acls-from-csp-key-containers.aspx
    var cspParams = new CspParameters(rsa.CspKeyContainerInfo.ProviderType, rsa.CspKeyContainerInfo.ProviderName, rsa.CspKeyContainerInfo.KeyContainerName)
    {
        Flags = CspProviderFlags.UseExistingKey | CspProviderFlags.UseMachineKeyStore,
        CryptoKeySecurity = rsa.CspKeyContainerInfo.CryptoKeySecurity
    };

    cspParams.CryptoKeySecurity.AddAccessRule(new CryptoKeyAccessRule(sid, CryptoKeyRights.GenericRead, AccessControlType.Allow));

    using (var rsa2 = new RSACryptoServiceProvider(cspParams))
    {
        //Only created to persist the rule change in the CryptoKeySecurity
    }
}

    Ich bin mit einem Security Identifier um das Konto zu identifizieren, aber ein NTAccount würde genauso gut funktionieren.

    InformationsquelleAutor der Antwort Jim Flood

  3. 15

    In diesem Fall hilft jemand anderes aus, ich schrieb Jim Flood Antwort in der Powershell

    function Set-PrivateKeyPermissions {
param(
[Parameter(Mandatory=$true)][string]$thumbprint,
[Parameter(Mandatory=$false)][string]$account = "NT AUTHORITY\NETWORK SERVICE"
)
#Open Certificate store and locate certificate based on provided thumbprint
$store = New-Object System.Security.Cryptography.X509Certificates.X509Store("My","LocalMachine")
$store.Open("ReadWrite")
$cert = $store.Certificates | where {$_.Thumbprint -eq $thumbprint}

#Create new CSP object based on existing certificate provider and key name
$csp = New-Object System.Security.Cryptography.CspParameters($cert.PrivateKey.CspKeyContainerInfo.ProviderType, $cert.PrivateKey.CspKeyContainerInfo.ProviderName, $cert.PrivateKey.CspKeyContainerInfo.KeyContainerName)

# Set flags and key security based on existing cert
$csp.Flags = "UseExistingKey","UseMachineKeyStore"
$csp.CryptoKeySecurity = $cert.PrivateKey.CspKeyContainerInfo.CryptoKeySecurity
$csp.KeyNumber = $cert.PrivateKey.CspKeyContainerInfo.KeyNumber

# Create new access rule - could use parameters for permissions, but I only needed GenericRead
$access = New-Object System.Security.AccessControl.CryptoKeyAccessRule($account,"GenericRead","Allow")
# Add access rule to CSP object
$csp.CryptoKeySecurity.AddAccessRule($access)

#Create new CryptoServiceProvider object which updates Key with CSP information created/modified above
$rsa2 = New-Object System.Security.Cryptography.RSACryptoServiceProvider($csp)

#Close certificate store
$store.Close()

}

    Beachten Sie, dass der Konto-parameter können in der form "DOMÄNE\BENUTZER" als auch (nicht nur gebaut im Namen) - getestet habe ich dies in meinem Umfeld und es wird automatisch konvertiert, um den entsprechenden SID

    InformationsquelleAutor der Antwort Russ

  4. 11

    Können Sie die WinHttpCertCfg.exe tooldass die Schiffe als Teil der Windows Server 2003 Resource Kit Tools.

    Beispiel:

    winhttpcertcfg -g -c LOCAL_MACHINE\My -s test -a NetworkService


    Alternativ können Sie die Finden Sie Private-Key-tool, dass Schiffe, die mit der WCF-SDK, um den Speicherort auf der Festplatte des privaten Schlüssels des Zertifikats-Datei. Dann können Sie einfach die ACL setzen Sie die richtigen Berechtigungen auf die Datei.

    Beispiel:

    FindPrivateKey My LocalMachine -n "CN=test"

    InformationsquelleAutor der Antwort Enrico Campidoglio

  5. 3

    Dies ist die Lösung, die ich gefunden für windows server 2008, wenn jemand interessiert war: http://technet.microsoft.com/en-us/library/ee662329.aspx

    Ich hatte grundsätzlich zu gewähren, Berechtigungen für den service, die Zugriff auf das Zertifikat mit der MMC-tool. Funktioniert wie ein Charme.

    InformationsquelleAutor der Antwort kennydust

Schreibe einen Kommentar