¿Cómo se puede construir un X509Certificate2 a partir de una matriz de bytes PKCS # 12 CryptographicException tirar ("el sistema no puede encontrar el archivo especificado.")?

Question

estoy tratando de construir un X509Certificate2 de una burbuja PKCS # 12 en una matriz de bytes y conseguir un error bastante desconcertante. Este código se ejecuta en una aplicación de escritorio con derechos de administrador en Windows XP.

El seguimiento de la pila es el siguiente, pero me perdí tratando de solucionarlo porque _LoadCertFromBlob está marcado [MethodImpl(MethodImplOptions.InternalCall)].

System.Security.Cryptography.CryptographicException: The system cannot find the file specified. 
    at System.Security.Cryptography.CryptographicException.ThrowCryptogaphicException(Int32 hr) 
    at System.Security.Cryptography.X509Certificates.X509Utils._LoadCertFromBlob(Byte[] rawData, IntPtr password, UInt32 dwFlags, Boolean persistKeySet, SafeCertContextHandle& pCertCtx) 
    at System.Security.Cryptography.X509Certificates.X509Certificate.LoadCertificateFromBlob(Byte[] rawData, Object password, X509KeyStorageFlags keyStorageFlags) 
    at System.Security.Cryptography.X509Certificates.X509Certificate2..ctor(Byte[] rawData, String password, X509KeyStorageFlags keyStorageFlags) 

EDIT: La gota es una verdadera PKCS # 12 generada por BouncyCastle for C# que contiene una clave privada RSA y un certificado (ya sea auto-firmado o recientemente inscrito con un CA) - lo que estoy tratando de hacer es convertir la clave privada y el certificado de la biblioteca BouncyCastle a la biblioteca System.Security.Cryptography exportando de uno e importando al otro. Este código funciona en la gran mayoría de los sistemas en los que se ha probado; Nunca he visto ese error en particular arrojado por ese constructor. Puede ser algún tipo de rareza ambiental en esa única caja.

EDIT 2: El error se produce en un entorno diferente en una ciudad diferente, y no puedo reproducirlo localmente, por lo que puede terminar teniendo que atribuirlo a una instalación de XP fallida.

Dado que usted pidió, sin embargo, aquí es el fragmento en cuestión. El código toma una clave privada y el certificado en representación BouncyCastle, se borran todos los certificados anteriores para el mismo nombre completo del almacén de claves personales, e importa la nueva clave privada y el certificado al almacén de claves personales a través de una mancha intermedia PKCS # 12.

// open the personal keystore 
var msMyStore = new X509Store(StoreName.My); 
msMyStore.Open(OpenFlags.MaxAllowed); 

// remove any certs previously issued for the same DN 
var oldCerts = 
    msMyStore.Certificates.Cast<X509Certificate2>() 
     .Where(c => X509Name 
         .GetInstance(Asn1Object.FromByteArray(c.SubjectName.RawData)) 
         .Equivalent(CurrentCertificate.SubjectDN)) 
     .ToArray(); 
if (oldCerts.Length > 0) msMyStore.RemoveRange(new X509Certificate2Collection(oldCerts)); 

// build a PKCS#12 blob from the private key and certificate 
var pkcs12store = new Pkcs12StoreBuilder().Build(); 
pkcs12store.SetKeyEntry(_Pkcs12KeyName, 
         new AsymmetricKeyEntry(KeyPair.Private), 
         new[] {new X509CertificateEntry(CurrentCertificate)}); 
var pkcs12data = new MemoryStream(); 
pkcs12store.Save(pkcs12data, _Pkcs12Password.ToCharArray(), Random); 

// and import it. this constructor call blows up 
_MyCertificate2 = new X509Certificate2(pkcs12data.ToArray(), 
             _Pkcs12Password, 
             X509KeyStorageFlags.Exportable); 
msMyStore.Add(_MyCertificate2); 
msMyStore.Close(); 

Answer 1

¿Tiene PKCS # 12 o PFX-file? En el mundo de Microsoft, es lo mismo, pero otros piensan en otro (ver http://www.drh-consultancy.demon.co.uk/pkcs12faq-old.html#PFX).

Usted puede tratar simplemente siguiendo

X509Certificate2 cert = X509Certificate2(byte[] rawData, "password"); 
X509Certificate2 cert2 = X509Certificate2(byte[] rawData, "password", 
       X509KeyStorageFlags.MachineKeySet | 
       X509KeyStorageFlags.PersistKeySet | 
       X509KeyStorageFlags.Exportable); 

(ver http://msdn.microsoft.com/en-us/library/ms148418.aspx) o

X509Certificate2 cert = X509Certificate2("C:\Path\my.pfx", "password"); 

(ver http://msdn.microsoft.com/en-us/library/ms148420.aspx y http://msdn.microsoft.com/en-us/library/ms148442.aspx si necesita usar algunas banderas)

ACTUALIZADO: sería ser útil si inserta un fragmento de código y no solo el seguimiento de pila de excepción.

Qué X509KeyStorageFlags se utilizan? Puede usar Process Monitor para averiguar qué archivo no pudo encontrar el constructor X509Certificate2. Puede ser, por ejemplo, que no hay un contenedor de clave predeterminado para el usuario actual en Windows XP que tiene el problema. Puede crearlo y reintentar la importación.

Answer 2

que tenía exactamente el mismo problema. El mismo código y los mismos datos/cert se ejecutaron correctamente en Windows 2003 x86 cuando se ejecutaban bajo un usuario específico, pero fallaban en otra cuenta (que también se usaba para ejecutar pools de aplicaciones IIS).

Al parecer, alguna otra cosa agotado los recursos en Windows, por lo que el usuario no realmente no podía cargar el perfil del usuario (su escritorio era raro-mirando), aunque hubo hay eventos relacionados en el Visor de sucesos.

Un reinicio ha resuelto el problema temporalmente. Aunque esta no es una solución permanente al problema, muestra que hay algo más (por ejemplo, componentes COM +, servicios de código nativo, etc.) que consume recursos que deben investigarse. También muestra la inestabilidad de las plataformas de Windows ...

Answer 3

Me encontré con el mismo problema.

De acuerdo con este kb article el problema era que el constructor intenta cargar el certificado en el perfil del usuario actual, pero el código .Net estaba imitando al usuario y por lo tanto no había cargado el perfil del usuario. El constructor requiere que el perfil de usuario cargado funcione correctamente.

Desde el artículo:

Los constructores de clase X509Certificate2 intenta importar el certificado en el perfil de usuario de la cuenta de usuario que la aplicación se ejecuta en muchas ocasiones, ASP.NET y COM + aplicaciones suplantar clientes.. Cuando lo hacen, no cargan los perfiles de usuario para el usuario suplantado por motivos de rendimiento. Por lo tanto, no pueden acceder al almacén de certificados "Usuario" para el usuario suplantado.

Cargando el perfil de usuario se ha solucionado el error.

Answer 4

Al ejecutar esto en una aplicación web en Windows 2012, establecer la opción del grupo de aplicaciones Load User Profile en true lo hizo funcionar.

Para ello, ejecute inetmgr.exe, ir a Advanced Settings para el grupo de aplicaciones correcto, cambiar Load User Profile bajo Process Model true.

Answer 5

Tuve este mismo problema.

1. Abra IIS en el servidor que aloja el sitio.
2. Encuentra el grupo de aplicaciones para el sitio.
3. Haga clic en Configuración avanzada.
4. Cambie "Cargar perfil de usuario" a verdadero. (puede ser necesario reiniciar o reiniciar)

Esto permite que el crypto subsystem funcione.