X509Certificate Constructeur Exception

//cert is an EF Entity and 
//   cert.CertificatePKCS12 is a byte[] with the certificate.

var certificate = new X509Certificate(cert.CertificatePKCS12, "SomePassword");

Lors du chargement d'un certificat à partir de notre base de données sur notre serveur de test (Windows 2008 R2/IIS7.5) nous obtenons cette exception:

System.Security.Cryptography.CryptographicException: An internal error occurred.

   at System.Security.Cryptography.CryptographicException.ThrowCryptographicException(Int32 hr)
   at System.Security.Cryptography.X509Certificates.X509Utils._LoadCertFromBlob(Byte[] rawData, IntPtr password, UInt32 dwFlags, Boolean persistKeySet, SafeCertContextHandle& pCertCtx)
   at System.Security.Cryptography.X509Certificates.X509Certificate.LoadCertificateFromBlob(Byte[] rawData, Object password, X509KeyStorageFlags keyStorageFlags)

REMARQUE: Ce problème ne se produit pas en local (Windows 7/Casini).

Tout insight est grandement apprécié.

  • Découvrez stackoverflow.com/questions/1345262/... et stackoverflow.com/questions/6097380/...
  • Je suppose que la source du problème est dans la byte[] données qui en cert.CertificatePKCS12. Sans avoir les données, on ne peut que deviner la raison de l'exception "Une erreur interne s'est produite". Donc, ma suggestion est que vous créez le certificat de test qui peut être utilisé dans votre environnement pour reproduire le problème, l'enregistrer dans le fichier et assurer le lien et le mot de passe (comme "SomePassword") pour le décodage du certificat. Après examen des données, on aura beaucoup plus de chances de trouver la reson et de proposer une solution de votre problème.
  • Merci pour la réponse @Oleg - si le tableau d'octets ont été mauvais, ne serait-il pas une erreur sur Win7 et Win2k8? Lorsque le tableau d'octets est écrit dans un fichier, il les importations correctement.
  • Je veux dire, pas une erreur, mais la combinaison de certaines propriétés du certificat, la clé et ainsi de suite. Donc, il faut analyser le problème. Pour être en mesure de reproduire les résultats ou de les analyser un besoin d'avoir le fichier PFX que vous utilisez comme le tableau d'octets cert.CertificatePKCS12.
  • quelles sont les propriétés serait la cause de la panne sur un OS et pas un autre? Pour des raisons évidentes de sécurité, nous ne pouvons pas divulguer les certificats eux-mêmes.
  • Pour comprendre ce que je veux dire que je peux le comparer à votre question avec le texte suivant: "Mon programme fonctionne sur mon ordinateur de développement, mais ne fonctionne pas sur mon serveur. Ce que la ligne de mon code ou de l'API que j'utilise pourrait être la raison?" Comme vous pouvez écrire beaucoup de programmes différents, on peut créer beaucoup de différents certificats et des clés. Sans avoir le code de votre programme (à partir de mon dernier exemple) ou sans avoir démo (non productif) certificat on peut seulement deviner, donc on ne peut pas résoudre votre problème. Essayez de créer démo certificat qui peut être utilisé pour reproduire le problème.
  • L'affichage d'un certificat sans la clé privée (comme l'exportation en .Fichier CER) est absolument sans danger. Vous pouvez donc poster vos productif certificat CER (pas comme PFX). L'information peut réduire un peu trop un problème commun qui vous décrire.

InformationsquelleAutor lukiffer | 2012-03-30
  1. 117

    Y en a un paramètre dans le Pool d'Applications IIS configuration des Pools d'Applications > Paramètres Avancés) pour charger le profil d'utilisateur pour l'identité du pool d'applications de l'utilisateur. Lorsque la valeur est false, les conteneurs de clés ne sont pas accessibles.

    Donc juste mis Load User Profile option True

    X509Certificate Constructeur Exception

    • Juste une remarque que c'est pour IIS7; dans IIS6, je ne pense pas qu'il y est une option pour charger le profil utilisateur.
    • Je suis d'essayer de le faire sur Azure et je ne sais pas que je puisse changer la "Charger le Profil Utilisateur" option. Toutes les suggestions... je suis encore assez nouveau dans le monde de cert...
    InformationsquelleAutor lukiffer
  2. 55

    Plus que probablement, lorsque vous exécutez à partir de Visual Studio/Cassini, c'est accéder à votre utilisateur magasin de certificats, même si vous êtes en train de charger à partir d'octets. Pourriez-vous s'il vous plaît essayer cela et voir si cela résout votre problème:

    var certificate = new X509Certificate(
    cert.CertificatePKCS12, "SomePassword", X509KeyStorageFlags.MachineKeySet);

    Ce sera la cause de IIS (qui s'exécute en tant que ASP.NET l'utilisateur qui probablement n'ont pas accès à un magasin d'utilisateur) pour utiliser le magasin de l'ordinateur.

    Cette page explique le constructeur dans le détail, et cette page explique le X509KeyStorageFlags énumération.

    Edit:
    Basé sur le deuxième lien de cyphr, on dirait qu'il pourrait être une bonne idée (si la solution précédente ne fonctionne pas), de combiner certaines des FlagsAttribute énumération des valeurs comme:

    var certificate = new X509Certificate(
    cert.CertificatePKCS12, "SomePassword",
    X509KeyStorageFlags.MachineKeySet
    | X509KeyStorageFlags.PersistKeySet
    | X509KeyStorageFlags.Exportable);

    En outre, si vous y avez accès, vous pouvez essayer de changer votre Application Piscine à usage Local (et puis redémarrez le pool d'applications). Cela peut élever vos autorisations à un niveau approprié, si c'est bien le problème.

    Enfin, vous pouvez utiliser Fichier.WriteAllBytes pour écrire le CertificatePKCS12 contenu d'un fichier pfx et voir si vous pouvez l'importer manuellement à l'aide du certificat de la console en vertu de la console MMC (vous pouvez supprimer après le succès de l'importation; c'est juste pour tester). Il se pourrait que vos données sont munged, ou le mot de passe est incorrect.

    • Merci pour la réponse, mais il est toujours en jetant les mêmes exception après l'ajout de la X509KeyStorageFlags.MachineKeySet drapeau, ainsi que lors de l'ajout de tous les trois MachineKeySet, PersistKeySet et Exportable drapeaux.
    • Pouvez-vous changer votre pool d'applications de l'identité de LocalService?
    • Aussi, utiliser les File.WriteAllBytes pour écrire le CertificatePKCS12 contenu d'un fichier pfx et voir si vous pouvez l'importer manuellement à l'aide du certificat de la console en vertu de la console MMC (vous pouvez supprimer après le succès de l'importation; c'est juste pour tester). Il se pourrait que vos données sont munged, ou le mot de passe est incorrect.
    • Pour des raisons de conformité, notre pool d'applications de l'identité est un compte Active Directory avec un jeu d'autorisations spécifique. L'application et le pool d'applications à la fois l'utilisation de ce compte et le compte d'utilisateur a un magasin de clés sur tous les membres de la batterie de serveurs web.
    • OK. J'ai mis à jour la réponse à inclure celui-ci dans le cas où ces travaux. Je suis en train de gagner le +de 50. 🙂
    • Si rien de tout cela fonctionne, vous avez peut-être SOL, puisque toutes les personnes de plus en ce fil de discussion résolu leur problème uniquement par l'élévation de service Local, service réseau, ou l'un des autres. 🙁
    • laissez-nous continuer cette discussion dans le chat
    • Notez que si vous prévoyez sur l'appel de SignTool.exe à partir de votre ASP.NET de projet, vous aurez toujours besoin d'activer l'option "LoadUserProfile" pour le Application Pool. Sinon SignTool.exe échouera avec An internal error occurred erreur...
    • La combinaison de ces drapeaux travaillé pour notre 2008R2 de l'installation.

    InformationsquelleAutor Chris Benard
  3. 29

    Utiliser ce code:

    certificate = new X509Certificate2(System.IO.File.ReadAllBytes(p12File)
                                   , p12FilePassword
                                   , X509KeyStorageFlags.MachineKeySet |
                                     X509KeyStorageFlags.PersistKeySet | 
                                     X509KeyStorageFlags.Exportable);
    • Tout ajout de la dernière peu avec les 3 ou déclarations obtenu mon travail. Bon le code est toujours d'actualité.
    • A travaillé pour moi quand vous essayez de charger un certificat en tant que ressource incorporée sur IIS.
    InformationsquelleAutor Francisco
  4. 6

    J'ai eu du mal sur Windows Server 2012 R2 où ma demande n'a pas pu charger les certificats d'un PFX sur le disque. Les choses du bon travail, l'exécution de mon application en tant qu'administrateur, et l'exception a dit Accès Refusé, donc ça doit être un problème d'autorisations. J'ai essayé quelques-uns des conseils ci-dessus, mais j'ai toujours eu le problème. J'ai trouvé que le fait de spécifier les options suivantes en tant que troisième paramètre de la cert constructeur a fait le tour pour moi:

     X509KeyStorageFlags.UserKeySet | 
 X509KeyStorageFlags.PersistKeySet | 
 X509KeyStorageFlags.Exportable
    InformationsquelleAutor Michael Balloni
  5. 1

    Pour être vraiment en mesure de résoudre votre problème et pas seulement deviner, que peut-il être, il faut être en mesure à reproduire votre problème. Si vous ne pouvez pas fournir de test de fichier PFX qui ont le même problème que vous avez à examiner le problème vous-même. La première question importante est: sont à l'origine de l'exception "Une erreur interne s'est produite" par la clé privée d'une partie de la PKCS12 ou dans la partie publique du certificat lui-même?

    Donc je vous recommande d'essayer de répéter la même expérience avec le même certificat, exporté sans clé privée (comme .Fichier CER):

    var certificate = new X509Certificate(cert.CertificateCER);

    ou

    var certificate = new X509Certificate.CreateFromCertFile("My.cer");

    Il pourrait aider à vérifier si l'origine de votre problème est la clé privée ou certaines propriétés du certificat.

    Si vous avez un problème avec le fichier CER vous pouvez sûre de poster le lien vers le fichier parce qu'il l'ait publique d'information seulement. Sinon, vous pouvez au moins exécuter

    CertUtil.exe -dump -v "My.cer"

    ou

    CertUtil.exe -dump -v -privatekey -p SomePassword "My.pfx"

    (vous pouvez utiliser d'autres options aussi) et après certaines parties de la sortie (par exemple les propriétés de la clé privée sans le PRIVATEKEYBLOB lui-même).

    InformationsquelleAutor Oleg
  6. 1

    Une alternative à l'évolution de la Charge de l'Utilisateur le Profil est de faire la Demande d'utilisation de la Piscine de la Service Réseau Identité.

    Voir aussi Ce qui se passe exactement lorsque j'ai mis LoadUserProfile de IIS piscine?

    InformationsquelleAutor David d C e Freitas
  7. 0

    Vous devez importer un .cer certificat sur votre ordinateur local, magasin de clés. Il n'y a pas besoin d'importer vos .p12 cert - au lieu d'utiliser la deuxième certyficate émis à votre compte par Apple. Je pense qu'il doit être valide paire de certificats (un système de fichiers, le deuxième dans le fichier de clés). Vous devez régler tous les 3 drapeaux en dll de cours.

    InformationsquelleAutor PanRycho