无法获取 WCF 服务中私钥的权限

Question

当我使用 HTTP 在 Win7 上运行 WCF 服务时，收到错误“证书‘CN=tempcert’必须具有能够进行密钥交换的私钥。该进程必须具有私钥的访问权限”。我将应用程序池更改为使用“NetworkService”。我使用本地计算机安装了服务器证书。该证书显示在本地计算机/个人/证书下的证书 MMC 中。我双击证书，它表明它有一个私钥。然后，我运行 FindPrivateKey 实用程序，它指出它在 C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys 文件夹中找到私钥。我进入 MMC 中的证书插件并授予 NETWORK SERVICE 帐户的完全权限。然后我进入Windows资源管理器中的文件夹并确认NETWORK SERVICE对该文件夹和特定密钥文件具有完全权限。但是，每次运行 WCF 服务时都会出错，无法找到私钥。我不知道我还能做什么。

Answer 1

创建证书时需要指定-sky Exchange。

makecert -sk SignedByCA -iv TempCA.pvk -n "CN=localhost" -ic 
    TempCA.cer SignedByCA.cer -sr LocalMachine -ss My -sky exchange -pe

Answer 2

我也曾为此苦苦挣扎。没有快速解决办法。 “-sky Exchange”可能是导致此错误的原因，但我在构建自签名证书时设置了“-sky Exchange”，但仍然收到此错误。还有其他问题可能导致此问题，包括私钥访问权限和证书位置。

如果/当您将 WCF 主机作为 Windows 服务运行时，这可能适用：

私钥的访问权限
就我而言，如果我手动启动 WCF 服务，它会继承我的（管理组）用户帐户的权限，并且 WCF 服务在查找证书时没有问题。但是，当我使用 Windows 服务启动 WCF 主机时，它继承了该服务的权限，并且我收到了同样的错误。

在“服务管理器”窗口中，就我而言，运行我的服务的帐户显示为“本地系统”，这实际上意味着“NT AUthority/系统”。因此，我需要向该帐户授予对该帐户的私钥容器的访问权限。令人惊讶的是，“每个人”都不够好。您可以使用 MMC 或使用 FindPrivatekey.exe 为密钥容器分配权限，并使用文件资源管理器手动设置权限，就像设置文件夹的访问权限一样。

商店位置 - 另一个因素
另外，就我而言，我运行的帐户无法访问“LocalMachine”或“CurrentUser”存储，因此在那里找到我的证书是没有用的。仅当我使用 MMC 将证书导入（或复制）到“服务（服务名称）”时，该服务才开始工作。

您可以这样做：打开 MMC，然后从列表中选择“证书”。您将看到三个选项：我的用户帐户（CurrentUser）、服务帐户（您选择哪个服务）和计算机帐户（LocalMachine）。只需选择服务帐户并选择 WCF 主机运行的服务即可。

我在这里的回答并不是完整的“如何做”，只是为那些在这个问题上苦苦挣扎的人提供有用的提示。我为文档编写的“如何做”长达 10 页。

Answer 3

MMC>文件>添加/删除管理单元>证书>添加>电脑帐户>下一页>完成> OK

然后，找到证书>右键单击>所有任务>管理私钥

添加正在使用证书的用户或服务并授予其完全控制权。

您已准备就绪:) 重新启动服务，它应该可以工作

Answer 4

我也遇到了这个异常。检查内部异常显示：System.Security.Cryptography.CryptographyException：指定的提供程序类型无效。
事实证明，我在 Windows Server 2008 上的 .NET 3.5 中使用 CNG 证书，本文 (https://msdn.microsoft.com/en-us/library/aa738624(v=vs.100).aspx) 突出显示为不受支持。

要查看您正在使用的证书类型，您可以运行命令 Certutil -store my 并查找 Provider 字段。

• 如果显示 Microsoft 增强型加密提供程序 v1.0 - 那么它是 CSP 证书。
• 它显示Microsoft Software Key Storage Provider - 那么它就是 CNG (KSP) 证书。

无论如何，我希望这些信息对遇到同样问题的人有用。