У меня есть приложение .NET, которое я хочу использовать в качестве клиента для вызова веб-службы SSL SOAP. Я получил сертификат действительного клиента под названием foo.pfx. В самом сертификате есть пароль.
Я нашел сертификат в следующем месте: C:\certs\foo.pfx
Чтобы вызвать веб-службу, мне нужно прикрепить клиентский сертификат. Здесь код:
public X509Certificate GetCertificateFromDisk(){
try{
string certPath = ConfigurationManager.AppSettings["MyCertPath"].ToString();
//this evaluates to "c:\\certs\\foo.pfx". So far so good.
X509Certificate myCert = X509Certificate.CreateFromCertFile(certPath);
// exception is raised here! "The specified network password is not correct"
return cert;
}
catch (Exception ex){
throw;
}
}
Похоже, что исключение распространяется на приложение .NET, пытающееся прочитать диск. Метод CreateFromCertFile является статическим методом, который должен создать новый экземпляр X509Certificate. Метод не переопределяется и имеет только один аргумент: путь.
Когда я проверяю Исключение, я нахожу это:
_COMPlusExceptionCode = -532459699
Source=mscorlib
Вопрос: кто-нибудь знает, в чем причина исключения? Указанный сетевой пароль неверен?
Оказывается, я пытался создать сертификат из .pfx вместо файла .cer.
Извлеченный урок...
В зависимости от вашей ситуации вам, вероятно, необходимо сначала установить сертификат на сервере, чтобы получить уровень доверия до экспорта файла .cer.
Я должен был сделать это для подобного проекта, и здесь были мои заметки о том, как это было сделано.
Замените Foo.cer на экспорт сертификата, установленного на сервере. (Установите сертификат из файла pfx, а затем экспортируйте его в файл cer.)
Команда для IIS6 позволяет группе IIS_WPG получить доступ к сертификату. Необходимо установить winhttpcertcfg (вы можете перейти по ссылке ниже, чтобы получить собственную копию).
C:\Program Files\Windows Resource Kits\Tools > winhttpcertcfg -i (путь к файлу pfx, например e:\Certs\Foo.pfx) -c LOCAL_MACHINE\My -a IIS_WPG -p (Пароль для файла pfx )
Выделяет информацию о ключах и предоставляет привилегии
Предоставление доступа к секретному ключу для учетной записи:
(SERVERNAME)\IIS_WPG
Загрузите WinHttpCertCfg.msi здесь, который устанавливает exe.
Подробнее о том, как использовать конфигурацию cert, можно найти здесь.
Затем он просто вернется к тому, как вы делаете свой сертификат.
//Cert Challenge URL
Uri requestURI = new Uri("https://someurl");
//Create the Request Object
HttpWebRequest pageRequest = (HttpWebRequest)WebRequest.Create(requestURI);
//After installing the cert on the server export a client cert to the working directory as Foo.cer
string certFile = MapPath("Foo.cer");
X509Certificate cert = X509Certificate.CreateFromCertFile(certFile);
//Set the Request Object parameters
pageRequest.ContentType = "application/x-www-form-urlencoded";
pageRequest.Method = "POST";
pageRequest.AllowWriteStreamBuffering = false;
pageRequest.AllowAutoRedirect = false;
pageRequest.ClientCertificates.Add(cert);
Это, как я передал сертификат, но не уверен, что именно вам нужно делать с вашим сертификатом, так что это может быть не то же самое для вас.
Возможно, вам понадобится пользователь X509Certificate2() с параметром X509KeyStorageFlags.MachineKeySet. Это фиксировало аналогичную проблему. Приобретите оригинальный сайт, который предложил следующее: http://vdachev.net/2012/03/07/c-sharp-error-creating-x509certificate2-from-a-pfx-or-p12-file-in-production/
Цитирование:
Причина
Причина проблемы, похоже, не имеет большого отношения к Сообщения об ошибках. По какой-то причине конструктор пытается получить доступ к хранилищу закрытого ключа, хотя закрытый ключ хранится в открывшемся файле. По умолчанию используется хранилище ключей пользователя, но ASP.NET(и, возможно, неинтерактивные службы Windows в целом) не разрешено открывать его. Скорее всего, это хранилище ключей пользователя для выбранная учетная запись даже не существует.
Решение
Одна вещь, которую вы могли бы попробовать - создать хранилище пользовательских ключей, войдя в учетной записи и импортировать сертификат в свой Личный магазин (и затем удалите его снова).
Другое решение - передать дополнительный параметр конструктору - флаг, указывающий, что закрытые ключи (предположительно) хранятся в локальный компьютер - X509KeyStorageFlags.MachineKeySet, например:
var certificate = new X509Certificate2(fileName, password, X509KeyStorageFlags.MachineKeySet);
Для PFX без пароля, пароль можно указать как string.Empty.
См. также fooobar.com/questions/315975/...
Сообщение об ошибке "указанный сетевой пароль неверно" также возвращается, когда сертификат, который вы пытаетесь импортировать в одном из хранилищ ОС, уже присутствует в этом хранилище.
В моем случае я пытался запустить в режиме Private Application, и я получил ту же ошибку.
Указанный сетевой пароль неверен
Конструктор PrivateAuthenticator (в Xero.Api.Example.Applications.Private) пытался импортировать сертификат, предполагая, что при создании сертификата не было пароля.
_certificate = new X509Certificate2();
_certificate.Import(certificatePath);
Затем я изменил импорт, чтобы использовать метод перегрузки, который использует пароль,
_certificate.Import(certificatePath, "mypasswordusedtocreatethecertificate", X509KeyStorageFlags.MachineKeySet);
Возможно, вам понадобится X509KeyStorageFlags.MachineKeySet.
Я использую сертификат из веб-задания.