Azure 上的 .Net CryptographicException "Object already exists"
.Net CryptographicException "Object already exists" on Azure
我们在 Azure 上的两个 Web 应用程序上部署了一个网站:一个生产版本和一个预生产版本。
该网站在特定时间创建一个容器来托管 RSA 密钥,使用以下代码:
// -----------------------------
// Part 1 : Initialize csp params
// -----------------------------
const int PROVIDER_RSA_FULL = 1;
const string CONTAINER_NAME = "OurKeyContainer";
CspParameters cspParams;
cspParams = new CspParameters(PROVIDER_RSA_FULL);
cspParams.KeyContainerName = CONTAINER_NAME;
cspParams.Flags = CspProviderFlags.UseMachineKeyStore;
cspParams.ProviderName = "Microsoft Strong Cryptographic Provider";
// --------------------------------------------------
// Part 2 : A try to set folder access rights to "everyone"
// --------------------------------------------------
// http://whowish-programming.blogspot.fr/2010/10/systemsecuritycryptographycryptographic.html
//
var sid = new SecurityIdentifier(WellKnownSidType.WorldSid, null);
var rule = new CryptoKeyAccessRule(sid, CryptoKeyRights.FullControl, AccessControlType.Allow);
cspParams.CryptoKeySecurity = new CryptoKeySecurity();
cspParams.CryptoKeySecurity.SetAccessRule(rule);
return new RSACryptoServiceProvider(cspParams);
问题是此代码仅适用于其中一个网站,即实际首次启动的网站。第二个抛出 CryptographicException "Object already exists".
谷歌搜索后,问题似乎是由执行网站的用户无权访问密钥容器引起的,但不幸的是,建议的修复(在我们上面的代码的第 2 部分中实施)不起作用..
有什么想法或建议吗?
谢谢
莉安娜
我认为问题在于您基本上是在尝试两次创建具有相同名称的机器范围的容器。我假设 pre-prod 和 prod 环境在同一台机器上,也许作为您的应用服务中的部署槽?我至少可以用这个设置复制你的问题。我猜还有一些其他设置可能会产生相同的情况,但这是最有可能的。
您可以在此设置中更改三项会产生不同结果的内容:
- 授予访问权限的身份
- 集装箱商店
- 容器名称
对于身份,我们可以使用 Everyone(如您所试)或 Current,我们可以从 WindowsIdentity 获得
private IdentityReference GetWindowsIdentity()
{
return System.Security.Principal.WindowsIdentity.GetCurrent().User;
}
private IdentityReference GetEveryoneIdentity()
{
return new SecurityIdentifier(WellKnownSidType.WorldSid, null);
}
容器存储可以是machine wide或仅供当前用户使用
// machine wide store
var cspParams = new CspParameters(PROVIDER_RSA_FULL)
{
...
Flags = CspProviderFlags.UseMachineKeyStore;
...
};
// default store
var cspParams = new CspParameters(PROVIDER_RSA_FULL)
{
...
Flags = CspProviderFlags.UseDefaultKeyContainer;
...
};
对于商店名称,我们可以选择一些东西,在您的情况下,您可以选择相同的东西,但我们也可以设置一些独特的标识
KeyContainerName = "OurKeyContainer",
KeyContainerName = $"OurKeyContainer-{identity}",
不同的组合会产生不同的结果:
每个人的身份、机器范围的存储、相同的容器名称 在具有 System.Security.Cryptography.CryptographicException: Object already exists.
的插槽之一上失败
每个人身份,机器范围的存储,每个身份的容器 OK
每个人的身份、用户存储、相同的容器名称 在两个插槽上都失败 System.Security.Cryptography.CryptographicException: The system cannot find the file specified.
所有人身份、用户存储、每个身份的容器 OK
当前身份、机器范围的存储、相同的容器名称 在具有 System.Security.Cryptography.CryptographicException: Object already exists.
的插槽之一上失败
当前身份,机器范围的存储,每个身份的容器 OK
当前身份、用户存储、相同的容器名称 在两个插槽上都失败 System.Security.Cryptography.CryptographicException: The system cannot find the file specified.
当前身份、用户存储、每个身份的容器 在两个插槽上都失败 System.Security.Cryptography.CryptographicException: The system cannot find the file specified.
因此,总而言之,更改容器的名称 以包含环境独有的内容将解决问题。它不一定是身份(但你会在机器上 运行 每个 App Service 获得一个身份,所以它是相当安全的),如果你将它设置为ENVIRONMENT VARIABLE 在您的应用服务中,并确保它分别设置为 pre-prod 和 prod。
我们在 Azure 上的两个 Web 应用程序上部署了一个网站:一个生产版本和一个预生产版本。
该网站在特定时间创建一个容器来托管 RSA 密钥,使用以下代码:
// -----------------------------
// Part 1 : Initialize csp params
// -----------------------------
const int PROVIDER_RSA_FULL = 1;
const string CONTAINER_NAME = "OurKeyContainer";
CspParameters cspParams;
cspParams = new CspParameters(PROVIDER_RSA_FULL);
cspParams.KeyContainerName = CONTAINER_NAME;
cspParams.Flags = CspProviderFlags.UseMachineKeyStore;
cspParams.ProviderName = "Microsoft Strong Cryptographic Provider";
// --------------------------------------------------
// Part 2 : A try to set folder access rights to "everyone"
// --------------------------------------------------
// http://whowish-programming.blogspot.fr/2010/10/systemsecuritycryptographycryptographic.html
//
var sid = new SecurityIdentifier(WellKnownSidType.WorldSid, null);
var rule = new CryptoKeyAccessRule(sid, CryptoKeyRights.FullControl, AccessControlType.Allow);
cspParams.CryptoKeySecurity = new CryptoKeySecurity();
cspParams.CryptoKeySecurity.SetAccessRule(rule);
return new RSACryptoServiceProvider(cspParams);
问题是此代码仅适用于其中一个网站,即实际首次启动的网站。第二个抛出 CryptographicException "Object already exists".
谷歌搜索后,问题似乎是由执行网站的用户无权访问密钥容器引起的,但不幸的是,建议的修复(在我们上面的代码的第 2 部分中实施)不起作用..
有什么想法或建议吗?
谢谢
莉安娜
我认为问题在于您基本上是在尝试两次创建具有相同名称的机器范围的容器。我假设 pre-prod 和 prod 环境在同一台机器上,也许作为您的应用服务中的部署槽?我至少可以用这个设置复制你的问题。我猜还有一些其他设置可能会产生相同的情况,但这是最有可能的。
您可以在此设置中更改三项会产生不同结果的内容:
- 授予访问权限的身份
- 集装箱商店
- 容器名称
对于身份,我们可以使用 Everyone(如您所试)或 Current,我们可以从 WindowsIdentity 获得
private IdentityReference GetWindowsIdentity()
{
return System.Security.Principal.WindowsIdentity.GetCurrent().User;
}
private IdentityReference GetEveryoneIdentity()
{
return new SecurityIdentifier(WellKnownSidType.WorldSid, null);
}
容器存储可以是machine wide或仅供当前用户使用
// machine wide store
var cspParams = new CspParameters(PROVIDER_RSA_FULL)
{
...
Flags = CspProviderFlags.UseMachineKeyStore;
...
};
// default store
var cspParams = new CspParameters(PROVIDER_RSA_FULL)
{
...
Flags = CspProviderFlags.UseDefaultKeyContainer;
...
};
对于商店名称,我们可以选择一些东西,在您的情况下,您可以选择相同的东西,但我们也可以设置一些独特的标识
KeyContainerName = "OurKeyContainer",
KeyContainerName = $"OurKeyContainer-{identity}",
不同的组合会产生不同的结果:
每个人的身份、机器范围的存储、相同的容器名称 在具有 System.Security.Cryptography.CryptographicException: Object already exists.
每个人身份,机器范围的存储,每个身份的容器 OK
每个人的身份、用户存储、相同的容器名称 在两个插槽上都失败 System.Security.Cryptography.CryptographicException: The system cannot find the file specified.
所有人身份、用户存储、每个身份的容器 OK
当前身份、机器范围的存储、相同的容器名称 在具有 System.Security.Cryptography.CryptographicException: Object already exists.
当前身份,机器范围的存储,每个身份的容器 OK
当前身份、用户存储、相同的容器名称 在两个插槽上都失败 System.Security.Cryptography.CryptographicException: The system cannot find the file specified.
当前身份、用户存储、每个身份的容器 在两个插槽上都失败 System.Security.Cryptography.CryptographicException: The system cannot find the file specified.
因此,总而言之,更改容器的名称 以包含环境独有的内容将解决问题。它不一定是身份(但你会在机器上 运行 每个 App Service 获得一个身份,所以它是相当安全的),如果你将它设置为ENVIRONMENT VARIABLE 在您的应用服务中,并确保它分别设置为 pre-prod 和 prod。