CryptographicException 'キーセットが存在しません'が、WCFを介してのみ

X.509証明書を使用して保護されたサードパーティのWebサービスを呼び出すコードがあります。

（単体テストを使用して）コードを直接呼び出すと、問題なく機能します。

展開すると、このコードはWCFサービスを介して呼び出されます。WCFサービスを呼び出す2番目の単体テストを追加しましたが、サードパーティのWebサービスでメソッドを呼び出すとCryptographicException、メッセージが表示されて失敗し"Keyset does not exist"ます。

これは、私のWCFサービスが自分とは別のユーザーを使用してサードパーティのWebサービスを呼び出そうとしているためだと思います。

誰もがこの問題に追加の光を当てることができますか？

おそらく証明書のアクセス許可の問題でしょう。

ユニットテストを実行すると、独自のユーザーコンテキストで実行されます（クライアント証明書がどのストアにあるかによって異なります）は、その証明書の秘密鍵にアクセスできます。

ただし、WCFサービスがIISまたはWindowsサービスとしてホストされている場合は、サービスアカウント（ネットワークサービス、ローカルサービス、またはその他の制限されたアカウント）で実行されている可能性があります。

サービスアカウントが秘密鍵にアクセスできるようにするには、秘密鍵に適切な権限を設定する必要があります。MSDNに詳細があります

これは、IISユーザーが証明書の秘密キーにアクセスできないことが原因と考えられます。次の手順でこれを設定できます...

1. スタート->実行-> MMC
2. ファイル->スナップインの追加/削除
3. 証明書スナップインを追加する
4. コンピュータアカウントを選択し、次に
5. [ローカルコンピュータ]（デフォルト）を選択し、[完了]をクリックします
6. コンソールルートの左側のパネルで、[証明書（ローカルコンピューター）]-> [個人]-> [証明書]に移動します。
7. 証明書はおそらくここにあります。
8. 証明書を右クリック->すべてのタスク->秘密鍵の管理
9. ここで秘密鍵の設定を行います。

昨夜も同じ問題がありました。秘密キーのアクセス許可は正しく設定されていました。キーセットが存在しないというエラーを除いて、すべてが明らかに問題ありませんでした。最終的に、証明書は最初に現在のユーザーストアにインポートされ、その後ローカルマシンストアに移動されたことがわかりました。ただし、それでも秘密鍵は移動されませんでした。

C：\ Documents and settngs \ Administrator ...

の代わりに

C：\ Documents and settngs \ All users ...

キーのアクセス許可は正しく設定されていましたが、ASPNETはそれにアクセスできませんでした。証明書を再インポートして秘密キーをAll usersブランチに配置すると、問題は解消しました。

IISからブラウジングするときに「キーセットが存在しない」を解決するには： プライベートアクセス権の可能性があります

表示して許可を与えるには：

1. 実行> mmc>はい
2. ファイルをクリック
3. スナップインの追加/削除をクリックします…
4. 証明書をダブルクリックします
5. コンピューターアカウント
6. 次
7. 仕上げ
8. OK
9. 証明書（ローカルコンピュータ）をクリックします。
10. 個人をクリックします
11. 証明書をクリックします

許可を与えるには：

1. 証明書の名前を右クリックします
2. すべてのタスク>秘密鍵の管理…
3. 特権を追加して与える（IIS_IUSRSを追加して特権を与えるとうまくいきます）

Visual StudioからWCFアプリを実行しようとしたときに同じ問題が発生しました。管理者としてVisual Studioを実行して解決しました。

私はこの問題に直面しましたが、証明書には秘密鍵がありますが、このエラーが発生しました（「キーセットが存在しません」）

原因： Webサイトが「ネットワークサービス」アカウントで実行されているか、権限が少ない。

解決策：アプリケーションプールのIDを「ローカルシステム」に変更し、IISをリセットして、もう一度確認します。それが機能し始めたら、それは許可/少ない特権の問​​題です、あなたは他のアカウントも使用して偽装することができます。

完全にイライラして、私は同じ問題を抱えており、上記のほとんどを試しました。エクスポートされた証明書には、でファイルを読み取る権限が正しくありましたがC:\ProgramData\Microsoft\Crypto\RSA\MachineKeys、フォルダーに対する権限がなかったことが判明しました。追加して機能しました

私もまったく同じような問題を抱えています。コマンドを使用しました

findprivatekey root localmachine -n "CN="CertName" 

結果は、秘密鍵がC：\ Documentsおよびsettngs \ All usersではなくc：\ ProgramDataフォルダーにあることを示しています。

c：\ ProgramDataフォルダーからキーを削除すると、findPrivatekeyコマンドを再度実行しても成功しません。すなわち。キーが見つかりません。

しかし、以前のコマンドで返された同じキーを検索した場合でも、キーを見つけることができます

C：\ Documents and settngs \ All users ..

そのため、私の理解では、IISまたはホストされているWCFはC：\ Documentsおよびsettngs \ All usersから秘密キーを見つけていません。

MVCアプリケーションを実行すると、CryptographicException 'Keyset does not exist'というエラーが発生しました。

解決策は、アプリケーションプールを実行しているアカウントに個人証明書へのアクセス権を与えることでした。私の場合、IIS_IUSRSを追加し、正しい場所を選択することでこの問題は解決しました。

RC on the Certificate - > All tasks -> Manage Private Keys -> Add->  
For the From this location : Click on Locations and make sure to select the Server name. 
In the Enter the object names to select : IIS_IUSRS and click ok. 

Steve Sheldonからの回答で問題が解決しましたが、GUIを使用せずに証明書のアクセス許可をスクリプト化しているため、スクリプト可能なソリューションが必要でした。私は自分の秘密鍵がどこに保管されているかを見つけるのに苦労しました。秘密鍵は含まれていませんでしたが-C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys、最終的には実際に含まれていることがわかりましたC:\ProgramData\Microsoft\Crypto\Keys。以下に私がそれを見つけた方法を説明します：

試しましたFindPrivateKeyが、秘密鍵が見つかりませんでした。Powershellを使用すると、$cert.privatekey.cspkeycontainerinfo.uniquekeycontainernamenull / emptyでした。

さいわい、certutil -store my証明書を一覧表示し、ソリューションのスクリプトを作成するために必要な詳細を教えてくれました。

================ Certificate 1 ================ Serial Number: 162f1b54fe78c7c8fa9df09 Issuer: CN=*.internal.xxxxxxx.net NotBefore: 23/08/2019 14:04 NotAfter: 23/02/2020 14:24 Subject: CN=*.xxxxxxxnet Signature matches Public Key Root Certificate: Subject matches Issuer Cert Hash(sha1): xxxxa5f0e9f0ac8b7dd634xx Key Container = {407EC7EF-8701-42BF-993F-CDEF8328DD} Unique container name: 8787033f8ccb5836115b87acb_ca96c65a-4b42-a145-eee62128a ##* ^-- filename for private key*## Provider = Microsoft Software Key Storage Provider Private key is NOT plain text exportable Encryption test passed CertUtil: -store command completed successfully.

次に、c\ProgramData\Microsoft\Crypto\フォルダーをスキャンし、C：\ ProgramData \ Microsoft \ Crypto \ Keysに8787033f8ccb5836115b87acb_ca96c65a-4b42-a145-eee62128aファイルを見つけました。

サービスアカウントに読み取りアクセス権を付与すると、このファイルで問題が解決します

インターネット上の例から生成されたすべてのキーへのアクセス許可を付与しているにもかかわらず、「キーセットが存在しない」というメッセージレベルのセキュリティを備えたWCFサービスを実行するのに役立ついくつかの欠けている情報を見つけました。

最後に、秘密鍵をローカルマシンの信頼できる人物ストアにインポートし、秘密鍵に適切な権限を付与しました。

これにより空白が埋められ、メッセージレベルのセキュリティでWCFサービスを実装できるようになりました。HIPPAに準拠する必要があるWCFを構築しています。

証明書をローカルマシンに再インストールしたところ、問題なく動作しました

アプリケーションプールにApplicationPoolIdentityを使用する場合、レジストリエディターでその「仮想」ユーザーのアクセス許可を指定する際に問題が発生する可能性があります（システムにはそのようなユーザーは存在しません）。

そのため、subinacl-レジストリACLの設定を可能にするコマンドラインツールなどを使用します。

健全性チェックの回答を追加したかっただけです。証明書をマシンの適切なストアにインストールし、クライアントに適切なセキュリティ権限をすべて与えた後でも、まったく同じエラーが発生しました。clientCertificateとサービス証明書を混同していることがわかりました。上記のすべてを試した場合は、これら2つがまっすぐかどうかをもう一度確認します。これを実行すると、アプリケーションがWebサービスを正常に呼び出すことができました。繰り返しますが、ただの正気チェッカーです。

IIS7でopenAM Fedletを使用しているときにこのエラーを受け取りました

デフォルトのWebサイトのユーザーアカウントを変更すると、問題が解決しました。理想的には、これをサービスアカウントにする必要があります。おそらくIUSRアカウントです。IISを完全に特定するための強化の方法を探すことを提案します。

Key Vaultに対する認証に使用される証明書の有効期限が切れてローテーションされたため、サービスファブリックプロジェクトでこれにぶつかり、サムプリントが変更されました。このエラーが発生したのは、このブロックのapplicationManifest.xmlファイルでサムプリントを更新しなかったためです。このブロックは、他の回答が示唆していることを正確に実行します。 LOCALMACHINE \ MY証明書ストアの場所にアクセスします。

「X509FindValue」属性値に注意してください。

<!-- this block added to allow low priv processes (such as service fabric processes) that run as NETWORK SERVICE to read certificates from the store -->
  <Principals>
    <Users>
      <User Name="NetworkService" AccountType="NetworkService" />
    </Users>
  </Principals>
  <Policies>
    <SecurityAccessPolicies>
      <SecurityAccessPolicy ResourceRef="AzureKeyvaultClientCertificate" PrincipalRef="NetworkService" GrantRights="Full" ResourceType="Certificate" />
    </SecurityAccessPolicies>
  </Policies>
  <Certificates>
    <SecretsCertificate X509FindValue="[[THIS KEY ALSO NEEDS TO BE UPDATED]]" Name="AzureKeyvaultClientCertificate" />
  </Certificates>
  <!-- end block -->

これは私のために働いた唯一の解決策です。

    // creates the CspParameters object and sets the key container name used to store the RSA key pair
    CspParameters cp = new CspParameters();
    cp.KeyContainerName = "MyKeyContainerName"; //Eg: Friendly name

    // instantiates the rsa instance accessing the key container MyKeyContainerName
    RSACryptoServiceProvider rsa = new RSACryptoServiceProvider(cp);
    // add the below line to delete the key entry in MyKeyContainerName
    // rsa.PersistKeyInCsp = false;

    //writes out the current key pair used in the rsa instance
    Console.WriteLine("Key is : \n" + rsa.ToXmlString(true));

リファレンス1

リファレンス2

This issue is got resolved after adding network service role.

CERTIFICATE ISSUES 
Error :Keyset does not exist means System might not have access to private key
Error :Enveloped data … 
Step 1:Install certificate in local machine not in current user store
Step 2:Run certificate manager
Step 3:Find your certificate in the local machine tab and right click manage privatekey and check in allowed personnel following have been added:
a>Administrators
b>yourself
c>'Network service'
And then provide respective permissions.

## You need to add 'Network Service' and then it will start working.