X.509 인증을 사용하여 보호되는 타사 웹 서비스를 호출하는 코드가 있습니다.
단위 테스트를 사용하여 코드를 직접 호출하면 아무런 문제없이 작동합니다.
배포되면이 코드는 WCF 서비스를 통해 호출됩니다. WCF 서비스를 호출하는 두 번째 단위 테스트를 추가했지만 타사 웹 서비스에서 메서드를 호출하면 CryptographicException, 메시지 와 함께 실패 "Keyset does not exist"합니다.
WCF 서비스가 다른 사용자를 사용하여 타사 웹 서비스를 직접 호출하려고하기 때문이라고 생각합니다.
누구든지이 문제에 대해 더 밝힐 수 있습니까?
답변:
인증서에 대한 권한 문제 일 수 있습니다.
단위 테스트를 실행하면 클라이언트 인증서가있는 저장소에 따라 자신의 사용자 컨텍스트에서 해당 인증서의 개인 키에 액세스 할 수 있는 사용자 컨텍스트에서 실행 됩니다.
그러나 WCF 서비스가 IIS 또는 Windows 서비스로 호스팅되는 경우 서비스 계정 (네트워크 서비스, 로컬 서비스 또는 기타 제한된 계정)에서 실행될 가능성이 있습니다.
해당 서비스 계정이 개인 키에 액세스 할 수 있도록 개인 키에 대한 적절한 권한을 설정해야합니다. MSDN 에 자세한 내용이 있습니다.
IIS 사용자가 인증서의 개인 키에 액세스 할 수 없기 때문일 수 있습니다. 다음 단계에 따라이를 설정할 수 있습니다 ...
어젯밤에 동일한 문제가 발생했습니다. 개인 키에 대한 권한이 올바르게 설정되었으므로 Keyset에 존재하지 않는 오류를 제외하고는 모든 것이 정상이었습니다. 결국 인증서를 현재 사용자 저장소로 가져온 다음 로컬 컴퓨터 저장소로 옮겼습니다. 그러나 여전히 개인 키는 이동하지 않았습니다.
C : \ Documents and settngs \ Administrator ...
대신에
C : \ Documents and settngs \ 모든 사용자 ...
키에 대한 충분한 권한이 올바르게 설정되었으므로 ASPNET이 액세스 할 수 없습니다. 개인 키가 모든 사용자 분기에 배치되도록 인증서를 다시 가져 오면 문제가 사라졌습니다.
IIS에서 찾아 볼 때 "키셋이 존재하지 않습니다"를 해결하려면 개인 권한에 대한 것일 수 있습니다.
보고 권한을 부여하려면 다음을 수행하십시오.
권한을 부여하려면
개인 키가 있지만이 키가 발생하는 인증서 인이 문제에 직면했습니다 ( "키 세트가 없습니다" ).
원인 : 웹 사이트가 "네트워크 서비스"계정으로 실행 중이거나 권한이 적습니다.
해결 방법 : 응용 프로그램 풀 ID를 "로컬 시스템"으로 변경하고 IIS를 재설정 한 후 다시 확인하십시오. 작동이 시작되면 권한 /리스 권한 문제이므로 다른 계정으로 가장하여 사용할 수도 있습니다.
완전히 실망 스럽지만 같은 문제가 있었고 위의 대부분을 시도했습니다. 내 보낸 인증서에 파일을 읽을 수 C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys있는 권한이 있지만 폴더에 대한 권한이없는 것으로 나타났습니다. 그것을 추가하고 작동했습니다
IISAPPPool\www.mywebsite.com내 appool의 Windows 사용자 이름을 추가 하고 작동했습니다 :-)
나는 비슷한 문제가 있습니다. 나는 명령을 사용했다
findprivatekey root localmachine -n "CN="CertName" 결과는 개인 키가 C : \ Documents 및 settngs \ All users 대신 c : \ ProgramData 폴더에 있음을 나타냅니다.
c : \ ProgramData 폴더에서 키를 삭제하면 findPrivatekey 명령이 다시 실행되지 않습니다. 즉. 키를 찾지 못했습니다.
그러나 이전 명령에서 반환 한 동일한 키를 검색해도 여전히 키를 찾을 수 있습니다.
C : \ Documents and settngs \ 모든 사용자 ..
따라서 이해하기 위해 IIS 또는 호스팅 WCF는 C : \ Documents and settngs \ All users에서 개인 키를 찾지 못합니다.
오류가 발생했습니다 : MVC 응용 프로그램을 실행할 때 CryptographicException '키 세트가 없습니다'.
해결책은 응용 프로그램 풀이 실행되는 계정에 개인 인증서에 대한 액세스 권한을 부여하는 것입니다. 필자의 경우 IIS_IUSRS를 추가하고 올바른 위치를 선택하면이 문제가 해결되었습니다.
RC on the Certificate - > All tasks -> Manage Private Keys -> Add->
For the From this location : Click on Locations and make sure to select the Server name.
In the Enter the object names to select : IIS_IUSRS and click ok. Steve Sheldon의 대답은 문제를 해결했지만 GUI없이 인증서 권한을 스크립팅 할 때 스크립팅 가능한 솔루션이 필요했습니다. 개인 키가 저장된 위치를 찾기 위해 고심했습니다. 개인 키는 들어 있지 않았지만 -C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys결국에는 실제로 있음을 알았습니다 C:\ProgramData\Microsoft\Crypto\Keys. 아래에서 나는 그것을 어떻게 찾았는지 설명합니다.
나는 시도 FindPrivateKey했지만 개인 키를 찾을 수 없으며 powershell을 사용하면 $cert.privatekey.cspkeycontainerinfo.uniquekeycontainernamenull / 비어 있습니다.
다행히 certutil -store my인증서를 나열하고 솔루션을 스크립팅하는 데 필요한 세부 정보를 제공했습니다.
================ Certificate 1 ================ Serial Number: 162f1b54fe78c7c8fa9df09 Issuer: CN=*.internal.xxxxxxx.net NotBefore: 23/08/2019 14:04 NotAfter: 23/02/2020 14:24 Subject: CN=*.xxxxxxxnet Signature matches Public Key Root Certificate: Subject matches Issuer Cert Hash(sha1): xxxxa5f0e9f0ac8b7dd634xx Key Container = {407EC7EF-8701-42BF-993F-CDEF8328DD} Unique container name: 8787033f8ccb5836115b87acb_ca96c65a-4b42-a145-eee62128a ##* ^-- filename for private key*## Provider = Microsoft Software Key Storage Provider Private key is NOT plain text exportable Encryption test passed CertUtil: -store command completed successfully.
그런 다음 c\ProgramData\Microsoft\Crypto\폴더 를 스캔 하고 C : \ ProgramData \ Microsoft \ Crypto \ Keys 에서 8787033f8ccb5836115b87acb_ca96c65a-4b42-a145-eee62128a 파일을 찾았습니다 .
내 서비스 계정에이 파일에 대한 액세스 권한을 부여하면 문제가 해결되었습니다.
인터넷의 예제에서 생성 된 모든 키에 대한 권한을 부여했지만 "키셋이 존재하지 않습니다"라는 메시지 수준 보안을 사용하여 WCF 서비스를 얻는 데 도움이되는 정보가 누락되었습니다.
마지막으로 개인 키를 로컬 컴퓨터의 신뢰할 수있는 사용자 저장소로 가져온 다음 개인 키에 올바른 권한을 부여했습니다.
이것은 나를 위해 공백을 채웠으며 마침내 메시지 수준 보안으로 WCF 서비스를 구현할 수있었습니다. HIPPA를 준수해야하는 WCF를 구축 중입니다.
키 저장소에 대해 인증하는 데 사용 된 인증서가 만료되어 회전 한 후 지문을 변경 한 후 서비스 패브릭 프로젝트에서이 문제를 해결했습니다. 이 블록의 applicationManifest.xml 파일에서 지문을 업데이트하지 못했기 때문에이 오류가 발생했습니다. LOCALMACHINE \ MY 인증서 저장소 위치에 액세스하십시오.
"X509FindValue"속성 값을 참고하십시오.
<!-- this block added to allow low priv processes (such as service fabric processes) that run as NETWORK SERVICE to read certificates from the store -->
<Principals>
<Users>
<User Name="NetworkService" AccountType="NetworkService" />
</Users>
</Principals>
<Policies>
<SecurityAccessPolicies>
<SecurityAccessPolicy ResourceRef="AzureKeyvaultClientCertificate" PrincipalRef="NetworkService" GrantRights="Full" ResourceType="Certificate" />
</SecurityAccessPolicies>
</Policies>
<Certificates>
<SecretsCertificate X509FindValue="[[THIS KEY ALSO NEEDS TO BE UPDATED]]" Name="AzureKeyvaultClientCertificate" />
</Certificates>
<!-- end block -->이것은 나를 위해 일한 유일한 솔루션입니다.
// creates the CspParameters object and sets the key container name used to store the RSA key pair
CspParameters cp = new CspParameters();
cp.KeyContainerName = "MyKeyContainerName"; //Eg: Friendly name
// instantiates the rsa instance accessing the key container MyKeyContainerName
RSACryptoServiceProvider rsa = new RSACryptoServiceProvider(cp);
// add the below line to delete the key entry in MyKeyContainerName
// rsa.PersistKeyInCsp = false;
//writes out the current key pair used in the rsa instance
Console.WriteLine("Key is : \n" + rsa.ToXmlString(true));This issue is got resolved after adding network service role.
CERTIFICATE ISSUES
Error :Keyset does not exist means System might not have access to private key
Error :Enveloped data …
Step 1:Install certificate in local machine not in current user store
Step 2:Run certificate manager
Step 3:Find your certificate in the local machine tab and right click manage privatekey and check in allowed personnel following have been added:
a>Administrators
b>yourself
c>'Network service'
And then provide respective permissions.
## You need to add 'Network Service' and then it will start working.