尝试从Windows certstore读取PrivateKey时出现异常

Question

我使用OpenSSL创建了一个私钥和公钥对，然后我生成了一个.p12文件，将其导入我的Windows证书库。密钥对和.p12文件是在Windows XP中创建的，我试图在Windows 7中使用它。 我试图从IIS中的Web服务（.svc）中访问密钥。 如果我尝试从独立应用程序中读取私钥，我可以毫无问题地执行此操作，但是当我尝试从我的Web应用程序中读取它时，我总是会遇到以下异常：

'cert.PrivateKey' threw an exception of type 'System.Security.Cryptography.CryptographicException'

这就是整个堆栈跟踪：

en System.Security.Cryptography.Utils.CreateProvHandle(CspParameters parameters, Boolean randomKeyContainer)
en System.Security.Cryptography.Utils.GetKeyPairHelper(CspAlgorithmType keyType, CspParameters parameters, Boolean randomKeyContainer, Int32 dwKeySize, SafeProvHandle& safeProvHandle, SafeKeyHandle& safeKeyHandle)
en System.Security.Cryptography.RSACryptoServiceProvider.GetKeyPair()
en System.Security.Cryptography.RSACryptoServiceProvider..ctor(Int32 dwKeySize, CspParameters parameters, Boolean useDefaultKeySize)
en System.Security.Cryptography.X509Certificates.X509Certificate2.get_PrivateKey()
en ValidKeyDll.ValidKey.getLlaveDeAlmacen(String almacen, Boolean esLlavePrivada) en C:\Users\desarrollo\Documents\ValidKeyDll\ValidKeyDll\ValidKey.cs:línea 58
en ValidKeyDll.ValidKey.firmaCadena(String almacen, String cadenaFirmar) en C:\Users\desarrollo\Documents\ValidKeyDll\ValidKeyDll\ValidKey.cs:línea 117

这是我读取密钥的代码的一部分：

X509Store store = new X509Store(StoreName.My, StoreLocation.LocalMachine);
store.Open(OpenFlags.ReadOnly);
RSACryptoServiceProvider csp = null;
foreach (X509Certificate2 cert in store.Certificates)
{
   if (cert.Subject.Contains(almacen))
   {
      if (cert.NotAfter.CompareTo(System.DateTime.Now) <= 0)
         throw new CertificadoVencidoException();

      if (isPrivateKey)
         csp = (RSACryptoServiceProvider)cert.PrivateKey;
      else
         csp = (RSACryptoServiceProvider)cert.PublicKey.Key;

      break;
   }
}

我认为这与某种许可问题有关，但我知道它是什么......如果有人有任何建议，我们将不胜感激。

需要考虑的事项：

• 私钥可导出。
• 用户IIS_IUSRS拥有证书的权限。

Answer 1

我终于解决了这个问题，但直到现在才发布答案（因为我是个初学者）：

问题是我以错误的方式导入.p12。我双击它并按照步骤操作。这样做的目的是将证书放在当前用户 - 个人证书存储区中，所以我认为只需将证书从该商店转移到本地机器商店就足够了......但是哦太惊喜了！它不是。 经过多次修订后，我发现IIS具有从内部导入证书的能力，并且这将证书直接放在本地计算机证书存储区中。 如果有人遇到某些问题或者只是想看看如何做到这一点，那么这些步骤就是：

• 打开IIS。
• 转到服务器证书（对不​​起，如果找不到确切的词，我的Windows是西班牙语）
• 选择导入
• 选择您的文件。如果你的文件是我的.p12，那么选择查看*。*
• 输入密码
• 接受......和voilá

Answer 2

是的，这是权限问题。前段时间我一直在努力。目前，我使用winhttpcertcfg添加适当的权限。

您还应该查看以下链接：http://benoit808.wordpress.com/2008/10/31/cryptographicexception-the-handle-is-invalid/。

还有关于它的文章http://www.stevefenton.co.uk/Content/Blog/Date/201101/Blog/X509-Certificates-On-Windows-Server-2003/。您可能还需要为IIS_WPG和IUSR帐户添加权限（文章没有提及）。