我正在使用以下代码尝试以编程方式允许NetworkService帐户访问密钥:
@H_403_23@解决方法
var RSA = new RSACryptoServiceProvider(
new CspParameters() {
KeyContainerName = "MyEncryptionKey",Flags = CspProviderFlags.UseExistingKey | CspProviderFlags.UseMachineKeyStore
});
RSA.CspKeyContainerInfo.CryptoKeySecurity.AddAccessRule(
new System.Security.AccessControl.CryptoKeyAccessRule(
new SecurityIdentifier(WellKnownSidType.NetworkServiceSid,null),CryptoKeyRights.GenericAll,AccessControlType.Allow
)
);
但是,使用命令行工具aspnet_regiis做同样的事情,完美地工作:
aspnet_regiis -pa "MyEncryptionKey" "NetworkService"
我正在运行完全管理员权限 – 如果我没有运行这些权限,则抛出异常.我也是最初创建密钥的用户.
密钥容器始终具有以下访问规则:
S-1-5-18 -> LocalSystem S-1-5-32-544 -> Administrators S-1-5-5-0-135377 -> MyUser
使用aspnet_regiis,SID,S-1-5-20将添加到此列表中.我无法从代码中影响它.
我已经尝试以字符串格式从sid创建安全标识符,以及使用SetAccessRule而不是AddAccessRule.
任何想法如何从代码实际影响此ACL列表?
您似乎没有调用Persist.您对CryptoKeySecurity所做的更改实际上并未立即保存.您需要使用其中一种Persist(…)方法来实际保存更改.
NativeObjectSecurity.Persist Method (String,AccessControlSections)
看起来这些API遵循一种相当复杂的修改方法.您需要首先创建CspParameters,应用必要的更改,然后从这些参数构造提供程序.构造调用容器的更新.
var params = new CspParameters
{
KeyContainerName = "MyEncryptionKey",Flags = CspProviderFlags.UseExistingKey | CspProviderFlags.UseMachineKeyStore
};
params.CryptoKeySecurity.AddAccessRule(
new System.Security.AccessControl.CryptoKeyAccessRule(
new SecurityIdentifier(WellKnownSidType.NetworkServiceSid,AccessControlType.Allow
)
);
var RSA = new RSACryptoServiceProvider(params);
