Azure 上的 .Net CryptographicException“对象已存在”

Question

我们在 Azure 上的两个 Web 应用程序上部署了一个网站：一个生产版本和一个预生产版本。

网站在特定时间创建一个容器来托管 RSA 密钥，使用以下代码：

// -----------------------------
// Part 1 : Initialize csp params
// -----------------------------
const int PROVIDER_RSA_FULL = 1;
const string CONTAINER_NAME = "OurKeyContainer";
CspParameters cspParams;
cspParams = new CspParameters(PROVIDER_RSA_FULL);
cspParams.KeyContainerName = CONTAINER_NAME;
cspParams.Flags = CspProviderFlags.UseMachineKeyStore;
cspParams.ProviderName = "Microsoft Strong Cryptographic Provider";

// --------------------------------------------------
// Part 2 : A try to set folder access rights to "everyone"
// --------------------------------------------------
// http://whowish-programming.blogspot.fr/2010/10/systemsecuritycryptographycryptographic.html
// http://stackoverflow.com/questions/5013881/c-sharp-how-do-i-get-the-everybody-user
var sid = new SecurityIdentifier(WellKnownSidType.WorldSid, null);
var rule = new CryptoKeyAccessRule(sid, CryptoKeyRights.FullControl, AccessControlType.Allow);
cspParams.CryptoKeySecurity = new CryptoKeySecurity();
cspParams.CryptoKeySecurity.SetAccessRule(rule);

return new RSACryptoServiceProvider(cspParams);

问题是此代码仅适用于其中一个网站，即实际首次启动的网站。第二个抛出 CryptographicException “对象已存在”。

谷歌搜索后，该问题似乎是由执行网站的用户无权访问密钥容器引起的，但不幸的是，推荐的修复（在我们上面代码的第 2 部分中实现）不起作用..

有什么想法或建议吗？

谢谢

丽安娜

Answer 1

我认为问题在于您基本上是在尝试两次创建具有相同名称的机器范围的容器。我假设pre-prod 和prod 环境在同一台机器上，可能作为应用服务中的部署槽？我至少可以用这个设置复制你的问题。我猜还有一些其他设置可能会产生相同的情况，但这是最有可能的。

您可以在此设置中更改三项会产生不同结果的内容：

• 授予访问权限的身份
• 集装箱商店
• 容器名称

对于身份，我们可以使用Everyone（您已经尝试过）或Current，我们可以从 WindowsIdentity 获得

    private IdentityReference GetWindowsIdentity()
    {
        return System.Security.Principal.WindowsIdentity.GetCurrent().User;
    }

    private IdentityReference GetEveryoneIdentity()
    {
        return new SecurityIdentifier(WellKnownSidType.WorldSid, null);
    }

容器存储可以是machine wide 或仅用于当前用户

// machine wide store
var cspParams = new CspParameters(PROVIDER_RSA_FULL)
{
    ...
    Flags = CspProviderFlags.UseMachineKeyStore;
    ...
};

// default store
var cspParams = new CspParameters(PROVIDER_RSA_FULL)
{
    ...
    Flags = CspProviderFlags.UseDefaultKeyContainer;
    ...
};

对于商店名称，我们可以选择一些东西，在您的情况下，您可以选择相同的名称，但我们也可以为身份设置一些独特的东西

    KeyContainerName = "OurKeyContainer",

    KeyContainerName = $"OurKeyContainer-{identity}",

不同的组合会产生不同的结果：

每个人的身份，机器范围的商店，相同的容器名称在System.Security.Cryptography.CryptographicException: Object already exists. 的插槽之一上失败

每个人的身份，机器范围的商店，每个身份的容器好的

每个人的身份、用户存储、相同的容器名称在两个插槽上都失败，System.Security.Cryptography.CryptographicException: The system cannot find the file specified.

每个人的身份、用户存储、每个身份的容器好的

当前身份，机器范围的存储，相同的容器名称在 System.Security.Cryptography.CryptographicException: Object already exists. 的插槽之一上失败

当前身份、机器范围的存储、每个身份的容器好的

当前身份、用户存储、相同的容器名称在两个插槽上都失败，System.Security.Cryptography.CryptographicException: The system cannot find the file specified.

当前身份、用户存储、每个身份的容器在两个插槽上都失败，System.Security.Cryptography.CryptographicException: The system cannot find the file specified.

因此，总而言之，更改容器的名称以包含环境独有的内容将解决问题。它不一定是身份（但您将在机器上运行的每个应用服务获得一个身份，因此它相当安全），如果您将其设置为 ENVIRONMENT VARIABLE ，它可能是环境的名称您的应用服务，并确保将其分别设置为 pre-prod 和 prod。

Here is the playaround code to test it