winhttpcertcfg che concede l'accesso all'utente iiS in Windows 7

Question

Devo consentire l'accesso all'utente IIS a un certificato pfx. Il sito Web è in esecuzione nel Pool di app sotto un utente AppPoolUser. IIS ha automaticamente il nome utente "IIS APPPOOL \ AppPoolUser" e questo è ciò di cui abbiamo bisogno per accedere quando usiamo aspnet_regiis -ga.

Tuttavia, quando utilizzo winhttpcertcfg per concedere l'accesso all'utente "IIS APPPOOL \ AppPoolUser", viene visualizzato il messaggio "Nessuna informazione sull'account trovata".

Il comando che uso è

winhttpcertcfg -i <filename> -c <certificateLocation> - g -a <account name> 

non abbiamo trovato nessun campioni per questo sul web. Qualche idea?

Answer 1

Quando si installa l'applicazione è anche aggiunge la documentazione:

C: \ Program Files (x86) \ Windows Resource Kits \ Tools

Gli esempi che seguono mostrano alcuni dei modi in cui il strumento di configurazione può essere utilizzato.

Questo comando elenca gli account che hanno accesso alla chiave privata per il certificato "MyCertificate" nell'archivio certificati "Root" del ramo LOCAL_MACHINE del registro.

winhttpcertcfg -l -c LOCAL_MACHINE\Root -s MyCertificate 

Questo concede comando accesso alla chiave privata del certificato "MyCertificate" nel "Il mio" archivio certificati per l'account TESTUSER.

winhttpcertcfg -g -c LOCAL_MACHINE\My -s MyCertificate -a TESTUSER 

Questo comando importazioni di un certificato e una chiave privata da un file PFX ed estende l'accesso chiave privata a un altro account.

winhttpcertcfg -i PFXFile -c LOCAL_MACHINE\My -a IWAM_TESTMACHINE 

Questo comando rimuove l'accesso alla chiave privata per l'account IWAM_TESTMACHINE con il certificato specificato.

winhttpcertcfg -r -c LOCAL_MACHINE\Root -s MyCertificate -a IWAM_TESTMACHINE 

Answer 2

So che è una vecchia questione, ma ho appena avuto lo stesso problema di ieri così ho pensato che avrei risposto.

ho avuto lo stesso problema, ma con un certificato situato nel LocalMachine -> TrustedPeople negozio ...

devi usare icacls invece di WinHttpCertCfg, tratto da this link.

In sostanza, si dovrebbe assomigliare a questa:

ICACLS <filename> /grant "IIS AppPool\DefaultAppPool":R 

Per motivi di completamento, qui come avevo bisogno di fare per accedere al negozio "Persone attendibili". Preso in parte da this link.

1. Utilizzare il FindPrivateKey tool da Microsoft per individuare il file vero e proprio per il CERT nel negozio. Questo strumento deve essere compilato dal codice sorgente in .\WF_WCF_Samples\WCF\Setup\FindPrivateKey\CS dal download Windows Communication Foundation (WCF) and Windows Workflow Foundation (WF) Samples for .NET Framework 4.

   FindPrivateKey.exe TrustedPeople LocalMachine -t "<thumbprint of the SSL cert>" 
   

2. Usa icacls sul file data dal FindPrivateKey.

   icacls C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\<path to certificate> /grant "IIS AppPool\<your AppPool name>":R 
   

Voilà!

Answer 3

Per il post originale, è sufficiente sostituire il dominio "IIS APPPool" con il nome di dominio locale della macchina, in genere lo stesso nome della macchina. Quando WinHttpCertCfg corre, si trasformerà <MachineName> \ <AppPoolUser> in < IIS AppPool > \ <AppPoolUser> "e concedere l'accesso al certficate. Se si desidera lavorare su un desktop dev con IIS locale, questo dovrebbe risolvere il problema. ICACLS funziona solo sui server (che sarà in ultima analisi, sarà la distribuzione su).

Answer 4

si può anche fare questo dal snap-in mmc certificati.

Basta fare clic con il certificato in questione, scegliere All Tasks -> Manage private keys..., e aggiungere l'utente desiderato (probabilmente IIS APPPOOL\[your app pool]).

Answer 5

ho avuto lo stesso problema:

• WinHttpCertCfg sembra essere stata abbandonata senza un'alternativa ragionevole.
• My Certificate Manager non ha incluso un'opzione "Gestisci chiavi private" come indicato in this old MSDN blog post.
• La compilazione di FindPrivateKey è un sovraccarico irragionevole in un ambiente Windows.

L'impostazione dell'autorizzazione per un certificato comporta la concessione al pool di applicazioni del diritto di lettura del file cert.

Ciò può essere ottenuto utilizzando icacls.exe (l'interfaccia utente di protezione di Windows Explorer non supporta pool di applicazioni):

icacls C:\ProgramData\Microsoft\crypto\rsa\machinekeys\9876abcdeblahblahblah /grant "IIS AppPool\AppPoolName:R" 

chiavi negozi macchina Windows in C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys, ma i nomi dei file non sono legati alla certificato. Il nome del file per ogni certificato può essere ottenuto utilizzando questo codice PowerShell:

ls Cert:\LocalMachine\TrustedPeople | 
    select Subject,@{n='FileName';e={$_.PrivateKey.CspKeyContainerInfo.UniqueKeyContainerName}} | 
    Format-List 

(Change "TrustedPeople" se il CERT è in un altro negozio.)

Il nome del pool di applicazioni può essere ottenuto dal nodo Pool di applicazioni di Gestione IIS o eseguendo questo codice PowerShell:

Import-Module WebAdministration; ls IIS:\AppPools 

Questo script PowerShell 3 userà Out-GridView (OGV) come un elenco GUI per il CERT e la piscina app, quindi concedere l'autorizzazione:

ipmo WebAdministration 
$cert = (ls Cert:\LocalMachine\TrustedPeople | 
    ogv -OutputMode Single -Title "Select Certificate"). 
    PrivateKey.CspKeyContainerInfo.UniqueKeyContainerName 
$app = (ls IIS:\AppPools | 
    ogv -OutputMode Single -Title "Select App Pool").Name 
icacls $env:ProgramData\Microsoft\crypto\rsa\machinekeys\$cert /grant "IIS AppPool\$($app):R" 

Answer 6

Se si vuole ancora continuare a utilizzare wihHttpCertCfg, quindi utilizzare il seguente comando:

winhttpcertcfg.exe -i <filename> -c <certificateLocation> -a "ComputerName\IIS APPPOOL\AppPoolName" 

Ho avuto lo stesso problema e l'ho risolto dal comando sopra oggi.

Answer 7

Ciò che funziona da me è il mio sito di staging è in servizio di rete (piscina app) (distribuzione) e nel mio locale è "ApplicationPoolIdentity" (copia di lavoro)

basta cambiare a ApplicationPoolIdentity ed eseguire il comando di winhttpcertcfg