webdevqa.jp.net

.NETからX.509証明書の秘密鍵ファイルに読み取り許可を設定する方法

Cfxストアにpfxを追加するコードは次のとおりです。

X509Store store = new X509Store( StoreName.My, StoreLocation.LocalMachine );
store.Open( OpenFlags.ReadWrite );
X509Certificate2 cert = new X509Certificate2( "test.pfx", "password" );
store.Add( cert );
store.Close();

しかし、NetworkServiceが秘密キーにアクセスするためのアクセス許可を設定する方法が見つかりませんでした。

誰かが光を当てることはできますか?前もって感謝します。

29
Ray Lu

プログラムでそれを行うには、3つのことを行う必要があります。

  1. 秘密鍵フォルダのパスを取得します。

  2. そのフォルダー内の秘密鍵のファイル名を取得します。

  3. そのファイルに権限を追加します。

3つすべてを実行するコードの例については この投稿 を参照してください(特に「AddAccessToCertificate」メソッドを確認してください)。

16

この回答は遅れていますが、ここで検索する他の人のために投稿したいと思います。

CryptoKeySecurity here を使用したソリューションを提供するMSDNブログの記事を見つけました。C#でのソリューションの例を次に示します。

var rsa = certificate.PrivateKey as RSACryptoServiceProvider;
if (rsa != null)
{
    // Modifying the CryptoKeySecurity of a new CspParameters and then instantiating
    // a new RSACryptoServiceProvider seems to be the trick to persist the access rule.
    // cf. http://blogs.msdn.com/b/cagatay/archive/2009/02/08/removing-acls-from-csp-key-containers.aspx
    var cspParams = new CspParameters(rsa.CspKeyContainerInfo.ProviderType, rsa.CspKeyContainerInfo.ProviderName, rsa.CspKeyContainerInfo.KeyContainerName)
    {
        Flags = CspProviderFlags.UseExistingKey | CspProviderFlags.UseMachineKeyStore,
        CryptoKeySecurity = rsa.CspKeyContainerInfo.CryptoKeySecurity
    };

    cspParams.CryptoKeySecurity.AddAccessRule(new CryptoKeyAccessRule(sid, CryptoKeyRights.GenericRead, AccessControlType.Allow));

    using (var rsa2 = new RSACryptoServiceProvider(cspParams))
    {
        // Only created to persist the rule change in the CryptoKeySecurity
    }
}

SecurityIdentifierを使用してアカウントを識別していますが、NTAccountも同様に機能します。

42
Jim Flood

これが他の誰かを助ける場合に備えて、私はPowershellでジム・フラッドの答えを書きました

function Set-PrivateKeyPermissions {
param(
[Parameter(Mandatory=$true)][string]$thumbprint,
[Parameter(Mandatory=$false)][string]$account = "NT AUTHORITY\NETWORK SERVICE"
)
#Open Certificate store and locate certificate based on provided thumbprint
$store = New-Object System.Security.Cryptography.X509Certificates.X509Store("My","LocalMachine")
$store.Open("ReadWrite")
$cert = $store.Certificates | where {$_.Thumbprint -eq $thumbprint}

#Create new CSP object based on existing certificate provider and key name
$csp = New-Object System.Security.Cryptography.CspParameters($cert.PrivateKey.CspKeyContainerInfo.ProviderType, $cert.PrivateKey.CspKeyContainerInfo.ProviderName, $cert.PrivateKey.CspKeyContainerInfo.KeyContainerName)

# Set flags and key security based on existing cert
$csp.Flags = "UseExistingKey","UseMachineKeyStore"
$csp.CryptoKeySecurity = $cert.PrivateKey.CspKeyContainerInfo.CryptoKeySecurity
$csp.KeyNumber = $cert.PrivateKey.CspKeyContainerInfo.KeyNumber

# Create new access rule - could use parameters for permissions, but I only needed GenericRead
$access = New-Object System.Security.AccessControl.CryptoKeyAccessRule($account,"GenericRead","Allow")
# Add access rule to CSP object
$csp.CryptoKeySecurity.AddAccessRule($access)

#Create new CryptoServiceProvider object which updates Key with CSP information created/modified above
$rsa2 = New-Object System.Security.Cryptography.RSACryptoServiceProvider($csp)

#Close certificate store
$store.Close()

}

アカウントパラメータは "DOMAIN\USER"の形式にすることもできます(組み込みの名前だけではありません)-私は自分の環境でこれをテストし、適切なSIDに自動的に変換しました

16
Russ

Windows Server 2003リソースキットツール の一部として出荷される WinHttpCertCfg.exeツール を使用できます。

例:

winhttpcertcfg -g -c LOCAL_MACHINE\My -s test -a NetworkService


または、WCF SDKに付属の 秘密キーの検索ツール を使用して、証明書の秘密キーファイルのディスク上の場所を見つけることができます。その後、ACLを使用してファイルに適切な権限を設定できます。

例:

FindPrivateKey My LocalMachine -n "CN=test"
11

これは、誰かが興味を持っていた場合にWindows Server 2008で見つけた解決策です: http://technet.Microsoft.com/en-us/library/ee662329.aspx

基本的に、MMCツールを使用して証明書にアクセスする必要があるサービスにアクセス許可を付与する必要がありました。魅力のように機能します。

3
kennydust