Comment construire une X509Certificate2 à partir d'un fichier PKCS#12 tableau d'octets jeter CryptographicException(“Le système ne peut pas trouver le fichier spécifié.”)?

Je suis en train de construire un X509Certificate2 à partir d'un fichier PKCS#12 blob dans un tableau d'octets et d'obtenir un assez déroutant d'erreur. Ce code est en cours d'exécution dans une application de bureau avec des droits d'administrateur sur Windows XP.

La trace de la pile est comme suit, mais je me suis perdu en essayant de résoudre les problèmes, car _LoadCertFromBlob est marqué [MethodImpl(MethodImplOptions.InternalCall)].

System.Security.Cryptography.CryptographicException: The system cannot find the file specified.
  at System.Security.Cryptography.CryptographicException.ThrowCryptogaphicException(Int32 hr)
  at System.Security.Cryptography.X509Certificates.X509Utils._LoadCertFromBlob(Byte[] rawData, IntPtr password, UInt32 dwFlags, Boolean persistKeySet, SafeCertContextHandle& pCertCtx)
  at System.Security.Cryptography.X509Certificates.X509Certificate.LoadCertificateFromBlob(Byte[] rawData, Object password, X509KeyStorageFlags keyStorageFlags)
  at System.Security.Cryptography.X509Certificates.X509Certificate2..ctor(Byte[] rawData, String password, X509KeyStorageFlags keyStorageFlags)

EDIT: Le blob est un vrai PKCS#12 généré par BouncyCastle pour C# contenant une clé privée RSA et certificat auto-signé ou récemment inscrit auprès d'une autorité de certification) -- ce que je suis en train de faire est de convertir la clé privée et le certificat du BouncyCastle bibliothèque pour le Système.De sécurité.Bibliothèque de cryptographie par l'exportation à partir de l'un et de l'importation à l'autre. Ce code fonctionne sur la plupart des systèmes, il a été essayé sur; j'ai juste jamais vu cette erreur renvoyé à partir de ce constructeur. Il peut être une sorte de environnemental "bizarre" sur une boîte.

EDIT 2: L'erreur se produit dans un environnement différent dans une autre ville, et je suis incapable de reproduire localement, donc j'ai peut-être la craie jusqu'à une fracture installation de windows XP.

Depuis que vous avez posées, même si, ici, est le fragment en question. Le code prend une clé privée et le certificat en BouncyCastle représentation, supprime les certificats précédents pour le même Nom unique du personnel du magasin de clés, et les importations de la nouvelle clé privée et le certificat dans le personnel clé de stockage par le biais d'un intermédiaire PKCS#12 blob.

//open the personal keystore
var msMyStore = new X509Store(StoreName.My);
msMyStore.Open(OpenFlags.MaxAllowed);

//remove any certs previously issued for the same DN
var oldCerts =
    msMyStore.Certificates.Cast<X509Certificate2>()
        .Where(c => X509Name
                        .GetInstance(Asn1Object.FromByteArray(c.SubjectName.RawData))
                        .Equivalent(CurrentCertificate.SubjectDN))
        .ToArray();
if (oldCerts.Length > 0) msMyStore.RemoveRange(new X509Certificate2Collection(oldCerts));

//build a PKCS#12 blob from the private key and certificate
var pkcs12store = new Pkcs12StoreBuilder().Build();
pkcs12store.SetKeyEntry(_Pkcs12KeyName,
                        new AsymmetricKeyEntry(KeyPair.Private),
                        new[] {new X509CertificateEntry(CurrentCertificate)});
var pkcs12data = new MemoryStream();
pkcs12store.Save(pkcs12data, _Pkcs12Password.ToCharArray(), Random);

//and import it.  this constructor call blows up
_MyCertificate2 = new X509Certificate2(pkcs12data.ToArray(),
                                       _Pkcs12Password,
                                       X509KeyStorageFlags.Exportable);
msMyStore.Add(_MyCertificate2);
msMyStore.Close();
InformationsquelleAutor Jeffrey Hantin | 2010-09-29
  1. 40

    Avez-vous des PKCS#12 ou juste PFX-fichier? Dans le monde Microsoft c'est la même chose, mais d'autres pensent à un autre (voir http://www.drh-consultancy.demon.co.uk/pkcs12faq-old.html#PFX).

    Vous pouvez essayer de suivre les 

    X509Certificate2 cert = X509Certificate2(byte[] rawData, "password");
X509Certificate2 cert2 = X509Certificate2(byte[] rawData, "password",
              X509KeyStorageFlags.MachineKeySet |
              X509KeyStorageFlags.PersistKeySet |
              X509KeyStorageFlags.Exportable);

    (voir http://msdn.microsoft.com/en-us/library/ms148418.aspx) ou 

    X509Certificate2 cert = X509Certificate2("C:\Path\my.pfx", "password");

    (voir http://msdn.microsoft.com/en-us/library/ms148420.aspx et http://msdn.microsoft.com/en-us/library/ms148442.aspx si vous avez besoin d'utiliser un certain nombre de drapeaux)

    Mis à JOUR: Il serait utile si vous insérer un fragment de code et pas seulement la trace de pile d'exception.

    Qui X509KeyStorageFlags utilisez-vous? Vous pouvez utiliser Le Moniteur De Processus pour trouver quel fichier n'a pas pu trouver le X509Certificate2 constructeur. Il peut être, par exemple, qu'il n'y a aucun conteneur de clé par défaut pour l'utilisateur en cours sur le Windows XP d'avoir le problème. Vous pouvez le créer et recommencer l'importation.

    • L'Ajout De X509KeyStorageFlags.MachineKeySet | X509KeyStorageFlags.PersistKeySet | X509KeyStorageFlags.Exportable au constructeur lors du chargement à partir de l'octet[] a travaillé pour moi.
    • J'ai rencontré ce même message d'erreur sur Windows Server 2012, où le même code n'ont pas de problèmes sur Windows 7 ou dans le nuage d'Azur. Changer le drapeau de MachineKeySet résolu le problème.
    • Méfiez-vous de la PersistKetSet drapeau dans cet exemple - il laisse la clé de fichiers sur le disque qui ne sont pas toujours en débarrasser. Si vous faites cet appel, très fréquemment, alors vous allez vous retrouver avec une énorme nettoyer la tâche. (Me demandez comment je le sais.) Si vous utilisez le cert seulement dans la mémoire, puis il suffit de spécifier MachineKeySet. Si vous avez terminé avec le en mémoire cert dans le code d'appel de la méthode Reset pour supprimer immédiatement le fichier de clé. Mieux pour ajouter une fois dans le magasin et de le recharger, si. C'est ce qu'il est.
    • Désolé, mais je n'ai rien fait dans la direction depuis des années. Le scénario avec certificat d'importation pas une seule fois est très spécifique. Si PersistKeySet n'est pas bon dans votre scénario, vous devrez tout simplement pas l'utiliser. De l'autre côté, si le certificat est importé avec PersistKeySet la clé sera placé dans le stockage de la clé en tant que fichier (profil utilisateur). CertGetCertificateContextProperty avec CERT_KEY_PROV_INFO_PROP_ID obtenir les informations. On peut obtenir le nom de fichier à l'aide de PP_UNIQUE_CONTAINER. Le fichier est sous CommonApplicationData (avec Microsoft\Crypto\RSA\MachineKeys suffixe)
    InformationsquelleAutor Oleg
  2. 9

    Je suis tombé sur le même problème.

    Selon cette l'article le problème était que le constructeur tente de charger le cert dans le profil de l'utilisateur actif, mais le .Net code j'ai été l'identification de l'utilisateur et donc il n'avait pas chargé le profil de l'utilisateur. Le constructeur nécessite le chargement du profil de l'utilisateur pour fonctionner correctement.

    De l'article:

    La X509Certificate2 les constructeurs de classe tentative pour importer le certificat dans le profil d'utilisateur du compte d'utilisateur que l'application s'exécute dans. De nombreuses fois, ASP.NET et les applications COM+ faire passer pour des clients. Quand ils le font, ils ne pas charger les profils d'utilisateur pour l'utilisateur représenté pour des raisons de performances. Donc, ils ne peuvent pas accéder à l ' "Utilisateur" magasin de certificats de l'identité de l'utilisateur.

    De charger le profil d'utilisateur correction de l'erreur.

    • Le morceau de code en question était en cours d'exécution à l'intérieur d'une application de bureau, donc je doute un déchargé de profil utilisateur est en cause.
    • Merci pour la réponse. Saviez-vous que la meilleure façon de résoudre ce problème? Il me fait envisager en raison de l'impact sur les performances. Thx
    • Comme je l'ai dit dans la dernière ligne de ma réponse, faire un appel api pour charger le profil utilisateur.
    InformationsquelleAutor Zain Rizvi
  3. 4

    Cours d'exécution dans une application web sur Windows 2012, l'application Réglage de l'option pool Load User Profile à vrai fait le travail.

    Pour ce faire, exécutez inetmgr.exe, allez à la Advanced Settings pour la bonne application de la piscine, changement Load User Profile sous Process Model de vrai.

    • Ce qui s'est passé dans une application de bureau, pas une application web ou d'un service.
    InformationsquelleAutor deerchao
  4. 2

    J'ai eu ce même problème.

    1. Ouvrir IIS sur le serveur hébergeant le site.
    2. Trouver le pool d'applications pour le site.
    3. Cliquez Sur Paramètres Avancés.
    4. Changement "de Charger le Profil Utilisateur" à true. (il peut être nécessaire de redémarrer ou rebooter)

    Cela permet à l' crypto-système de travail.

    Comment construire une X509Certificate2 à partir d'un fichier PKCS#12 tableau d'octets jeter CryptographicException(“Le système ne peut pas trouver le fichier spécifié.”)?

    • C'est la quatrième réponse que les points à problèmes avec les pools d'applications IIS. J'ai eu ce problème dans une application de bureau. C'est tout à fait possible de le profil utilisateur est endommagé en quelque sorte, mais il était bien chargé.
    • Intéressant, ce n'est pas évident de votre question que ses une application de bureau. Ce correctif a fonctionné pour moi sur mon IdentityServer3 MVC app. Le projet a bien fonctionné au niveau local, mais dès qu'il se lève pour le serveur, il se plantait. Ce drapeau a été la seule solution. Les autorisations peut-être sur l'application de bureau?
    • Il a couru dans l'administrateur, le groupe compte sur une machine XP, donc ni autorisation ni contrôle de compte d'utilisateur doit avoir été en cause. Je n'arrivais pas à le reproduire sur une autre machine, donc ma meilleure supposition à ce point est un profil cassé ou une fracture de l'OS de configuration.
    InformationsquelleAutor paqogomez
  5. 1

    J'ai eu exactement le même problème. Le même code et les données/certs marche bien sur Windows 2003 x86 lors de l'exécution en vertu d'un utilisateur spécifique, mais a échoué sous un autre compte (qui a également été utilisé pour l'exécution des pools d'applications IIS).

    Apparemment, quelque chose d'autre qui a épuisé les ressources sur Windows, de sorte que le défaut de l'utilisateur ne pouvait pas vraiment charger le profil de l'utilisateur (son bureau est bizarre), mais il y avait pas liées à des événements dans l'Observateur d'Événements.

    Un redémarrage résoudre le problème temporairement. Bien que ce n'est pas une solution permanente à ce problème, il montre qu'il y a quelque chose d'autre (par exemple, des composants COM+, le code natif de services, etc) consommation de ressources qui doit être étudié. Il montre aussi l'instabilité des plates-formes Windows...

    • Cette saveur particulière de l'instabilité semble être liée à une combinaison de fortement interprocess communication dépendante du logiciel de bureau et les pauvres de la robustesse face à l'épuisement des ressources. J'ai vu exactement la même classe de problèmes avec GNOME, et en particulier de l'Évolution, sur Linux dans le passé.
    InformationsquelleAutor Ricardo Pardini