X509Certificate 构造函数异常

Question

//cert is an EF Entity and 
//    cert.CertificatePKCS12 is a byte[] with the certificate.

var certificate = new X509Certificate(cert.CertificatePKCS12, "SomePassword");

从我们的数据库加载证书时，在我们的暂存服务器（Windows 2008 R2/IIS7.5）上，我们会遇到以下异常：

System.Security.Cryptography.CryptographicException: An internal error occurred.

   at System.Security.Cryptography.CryptographicException.ThrowCryptographicException(Int32 hr)
   at System.Security.Cryptography.X509Certificates.X509Utils._LoadCertFromBlob(Byte[] rawData, IntPtr password, UInt32 dwFlags, Boolean persistKeySet, SafeCertContextHandle& pCertCtx)
   at System.Security.Cryptography.X509Certificates.X509Certificate.LoadCertificateFromBlob(Byte[] rawData, Object password, X509KeyStorageFlags keyStorageFlags)

注意：此问题不会在本地发生（Windows 7/Casini）。

非常感谢任何见解。

Answer 1

很可能，当您从 Visual Studio/Cassini 运行时，它正在访问您的 用户 证书存储，即使您是从字节加载它。你能试试这个，看看它是否能解决你的问题：

var certificate = new X509Certificate(
    cert.CertificatePKCS12, "SomePassword", X509KeyStorageFlags.MachineKeySet);

这将导致 IIS（以 ASP.NET 用户身份运行，可能无权访问用户存储）使用机器存储。

This page 更详细地解释了构造函数，this page 解释了X509KeyStorageFlags 枚举。

编辑： 基于来自cyphr 的second link，看起来像这样组合一些FlagsAttribute 枚举值可能是个好主意（如果以前的解决方案不起作用）：

var certificate = new X509Certificate(
    cert.CertificatePKCS12, "SomePassword",
    X509KeyStorageFlags.MachineKeySet
    | X509KeyStorageFlags.PersistKeySet
    | X509KeyStorageFlags.Exportable);

此外，如果您有访问权限，您可能想尝试更改您的应用程序池设置以使用 LocalService（然后重新启动 AppPool）。如果这是问题，这可能会将您的权限提升到适当的级别。

最后你可以使用File.WriteAllBytes将CertificatePKCS12的内容写到一个pfx文件中，看看是否可以使用MMC下的证书控制台手动导入（导入成功后可以删除；这只是为了测试）。可能是您的数据被篡改，或者密码不正确。

Answer 2

要真正解决您的问题，而不仅仅是猜测，它会是什么，需要能够重现您的问题。如果您无法提供具有相同问题的测试 PFX 文件，您必须自己检查问题。第一个重要问题是：PKCS12 的私钥部分或证书本身的公共部分中出现“内部错误”异常的根源是什么？

所以我建议您尝试使用相同的证书重复相同的实验，导出没有私钥（如 .CER 文件）：

var certificate = new X509Certificate(cert.CertificateCER);

或

var certificate = new X509Certificate.CreateFromCertFile("My.cer");

这有助于验证您的问题的根源是私钥还是证书的某些属性。

如果您对 CER 文件有疑问，您可以安全地发布该文件的链接，因为它只有公共信息。或者，您至少可以执行

CertUtil.exe -dump -v "My.cer"

或

CertUtil.exe -dump -v -privatekey -p SomePassword "My.pfx"

（您也可以使用其他一些选项）并发布输出的某些部分（例如，没有 PRIVATEKEYBLOB 本身的私钥属性）。

Answer 3

原来在 IIS 应用程序池配置（应用程序池 > 高级设置）中有一个设置来加载应用程序池身份用户的用户配置文件。设置为 false 时，无法访问密钥容器。

所以只需将Load User Profile 选项设置为True

Answer 4

使用此代码：

certificate = new X509Certificate2(System.IO.File.ReadAllBytes(p12File)
                                   , p12FilePassword
                                   , X509KeyStorageFlags.MachineKeySet |
                                     X509KeyStorageFlags.PersistKeySet | 
                                     X509KeyStorageFlags.Exportable);

Answer 5

您需要将 .cer 证书导入本地计算机密钥库。无需导入您的 .p12 证书 - 而是使用 Apple 颁发给您帐户的第二个证书。我认为它必须是一对有效的证书（一个在文件系统中，第二个在密钥库中）。当然，您必须在 dll 中设置所有 3 个标志。

Answer 6

更改加载用户配置文件的另一种方法是让应用程序池使用网络服务身份。

另见What exactly happens when I set LoadUserProfile of IIS pool?

Answer 7

我在 Windows 2012 Server R2 上遇到问题，我的应用程序无法为磁盘上的 PFX 加载证书。以管理员身份运行我的应用程序可以正常工作，并且异常表示访问被拒绝，因此它必须是权限问题。我尝试了上面的一些建议，但我仍然遇到了问题。我发现将以下标志指定为 cert 构造函数的第三个参数对我有用：

 X509KeyStorageFlags.UserKeySet | 
 X509KeyStorageFlags.PersistKeySet | 
 X509KeyStorageFlags.Exportable

Answer 8

在运行 IIS 10 的应用程序上，我使用以下代码通过应用程序池的 LocalSystem 标识修复了访问被拒绝错误：

new X509Certificate2(certificateBinaryData, "password"
                               , X509KeyStorageFlags.MachineKeySet |
                                 X509KeyStorageFlags.PersistKeySet);

启用加载用户配置文件对我不起作用，虽然有很多建议这样做，但他们并没有表明将“加载用户配置文件”设置为 True 仅适用于用户帐户而不是：

1. ApplicationPoolIdentity
2. 网络服务

Answer 9

下面的代码会对你有所帮助，你可以使用充气城堡库生成算法：

private static ECDsa GetEllipticCurveAlgorithm(string privateKey)
{
    var keyParams = (ECPrivateKeyParameters)PrivateKeyFactory
        .CreateKey(Convert.FromBase64String(privateKey));

    var normalizedECPoint = keyParams.Parameters.G.Multiply(keyParams.D).Normalize();

    return ECDsa.Create(new ECParameters
    {
        Curve = ECCurve.CreateFromValue(keyParams.PublicKeyParamSet.Id),
        D = keyParams.D.ToByteArrayUnsigned(),
        Q =
    {
        X = normalizedECPoint.XCoord.GetEncoded(),
        Y = normalizedECPoint.YCoord.GetEncoded()
    }
    });
}

并通过以下方式生成令牌：

var signatureAlgorithm = GetEllipticCurveAlgorithm(privateKey);

        ECDsaSecurityKey eCDsaSecurityKey = new ECDsaSecurityKey(signatureAlgorithm)
        {
            KeyId = settings.Apple.KeyId
        };

        var handler = new JwtSecurityTokenHandler();   
        var token = handler.CreateJwtSecurityToken(
            issuer: iss,
            audience: AUD,
            subject: new ClaimsIdentity(new List<Claim> { new Claim("sub", sub) }),
            expires: DateTime.UtcNow.AddMinutes(5), 
            issuedAt: DateTime.UtcNow,
            notBefore: DateTime.UtcNow,
            signingCredentials: new SigningCredentials(eCDsaSecurityKey, SecurityAlgorithms.EcdsaSha256));