为本地群集安装证书

时间:2016-06-03 16:19:38

标签: c# azure-service-fabric

我有一些代码可以使用Azure Key Vault进行身份验证,以便检索一些秘密。我使用客户端ID和证书而不是客户端ID和密码进行身份验证。此代码在普通的控制台应用程序中运行良好:

var store = new X509Store(StoreName.My, StoreLocation.CurrentUser);
try
{
    store.Open(OpenFlags.ReadOnly);

    var matchingCertificates = store.Certificates.Find(X509FindType.FindByThumbprint, thumbprint, false);
    if (matchingCertificates.Count != 1)
    {
        return null;
    }

    return matchingCertificates[0];
}
finally
{
    if (store != null) store.Close();
}

只要我在有状态服务应用程序中尝试使用此代码,它就再也无法找到证书。

如何安装证书以使其可用于我的本地群集?

2 个答案:

答案 0 :(得分:8)

这不起作用的原因是因为Service Fabric在NETWORK SERVICE帐户下运行,该帐户在没有配置的情况下无法访问证书。

至少对我们来说,当使用Microsoft.Azure.KeyVault提供的KeyVaultClient使用证书连接到Key Vault时,此方案导致“Keyset不存在”异常。

解决方案是在ApplicationManifest.xml中包含证书,该证书指示Service Fabric授予NETWORK SERVICE帐户访问证书的权限; 

<ApplicationManifest>
   <!-- snip -->
   <Principals>
      <Users>
         <User Name="NetworkServiceAccount" AccountType="NetworkService" />
      </Users>
   </Principals>
   <Policies>
      <SecurityAccessPolicies>
         <SecurityAccessPolicy ResourceRef="KeyVaultCert" PrincipalRef="NetworkServiceAccount" GrantRights="Full" ResourceType="Certificate" />
      </SecurityAccessPolicies>
   </Policies>
   <Certificates>
      <SecretsCertificate X509FindValue="1ABCD86B815F37123459A34C1BA9EDEBABCEDF1" Name="KeyVaultCert" />
   </Certificates>
</ApplicationManifest>

...其中NetworkServiceAccountKeyVaultCert都是<SecurityAccessPolicy />元素用来引用用户和证书的任意名称。

另见https://azure.microsoft.com/en-us/documentation/articles/service-fabric-application-runas-security/#a-complete-application-manifest-example

答案 1 :(得分:4)

Service Fabric应用程序在NETWORK SERVICE帐户下运行,因此您需要确保该帐户具有对证书的访问权限。

编辑:

对于在本地盒子上运行的集群,您可以使用certmgr.msc或相关的mmc管理单元找到证书,然后右键单击&gt;所有任务&gt;管理私钥,然后为NETWORK SERVICE提供读取权限。

对于Azure中的远程群集,您可以使用比例集的VM上的custom script extension执行此操作,该VM将运行设置所需权限的PowerShell脚本。例如,它可以执行以下操作:

$certificate = Get-ChildItem -Path Cert:\LocalMachine\My | Where-Object {$_.Thumbprint -eq $certificateThumbprint}

# Get file path
$certificateFilePath = "C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\" + $cert.PrivateKey.CspKeyContainerInfo.UniqueKeyContainerName

# Take ownership of the file so that permissions can be set
takeown /F $certificateFilePath

# Give the NETWORK SERVICE read permissions
$acl = (Get-Item $certificateFilePath).GetAccessControl('Access')
$rule = new-object System.Security.AccessControl.FileSystemAccessRule "NETWORK SERVICE","Read","Allow"
$acl.SetAccessRule($rule)
Set-Acl -Path $certificateFilePath -AclObject $acl
相关问题
最新问题