ReSQL.ru
     
powered by simpleCommunicator - 2.0.52     © 2025 Programmizd 02
Мобильная версия    Контакт    Правила    FAQ    Помощь
Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр
Форумы / WinForms, .Net Framework [игнор отключен] [закрыт для гостей] / Подписать e-mail сертификатом, но надо это сделать под NetworkService Account
5 сообщений из 5, страница 1 из 1
Подписать e-mail сертификатом, но надо это сделать под NetworkService Account
    #39491953
Дмитрий77
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Дмитрий77
Участник
Коды отрабатывал года 2 назад, под System они работают
Есть корректный сертификат для заданного e-mail,
он установлен в системе в хранилище LocalMashine

Код такой:
Код: vbnet
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
    Dim strContent As String = oMsg.BodyPart.GetStream.ReadText
    Dim str_err As String = ""
    Dim signedbytes As Byte()

    ' first look in LocalMachine store
    AddLog(Now.ToString & Chr(9) & strL_SendMail_Sign_Cert_LocalMashine_Looking) ' "Looking for certificate in LocalMashine store."
    Dim certificate As X509Certificate2 = _
     GetCertForSignature(New MailAddress(oMsg.From).Address, StoreLocation.LocalMachine)
    If certificate IsNot Nothing Then
      AddLog(Now.ToString & Chr(9) & strL_SendMail_Sign_Cert_LocalMashine_Found) ' "Valid certificate found in LocalMashine store."
      AddLog(Now.ToString & Chr(9) & strL_SendMail_Sign_SigningMailContent) ' "Signing mail content."
      signedbytes = SignContent(strContent, certificate, str_err)
      If signedbytes Is Nothing Then
        AddLog(Now.ToString & Chr(9) & str_err)


Подписываем так:

Код: vbnet
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
  Public Function SignContent(ByVal str_content As String, ByVal certificate As X509Certificate2, _
   Optional ByRef str_error As String = vbNullString) As Byte()
    Try
      Dim data As Byte() = Encoding.GetEncoding(1252).GetBytes(str_content)
      Dim content As New ContentInfo(data)
      Dim signedCms As New SignedCms(content, False)
      Dim signer As New CmsSigner(SubjectIdentifierType.IssuerAndSerialNumber, certificate)
      signedCms.ComputeSignature(signer, True) 'attached
      Return signedCms.Encode()
    Catch ex As Exception
      str_error = strL_SendMail_Sign_ErrorCode & ": " & Err.Number & " (" & Err.Description & ")" ' "Error code: "
      Return Nothing
    End Try
  End Function



Сертификат находит, но подписать не может, выдает в логе следующее:
Код: vbnet
1.
2.
3.
4.
5.
20.07.2017 4:25:04	Signing mail with digital signature (opaque signing)
20.07.2017 4:25:04	Looking for certificate in LocalMashine store.
20.07.2017 4:25:04	Valid certificate found in LocalMashine store.
20.07.2017 4:25:04	Signing mail content.
20.07.2017 4:25:04	Error code: 5 (Набор ключей не существует)



Запускается это дело под NT AUTHORITY\NetworkService

NetworkService Account

(не моя прихоть, виндовый сервис работает под NetworkService, моя dll-extension соответственно тоже, dll запускает exe как CreateProcess, exe должен отправить мыло, в ф-ции отправки мыла есть опция прозрачной и непрозрачной подписи )

Кто нибудь знает как завести? Мыло (CDO.Message) соответственно уходит, но без подписи.
...
Рейтинг: 0 / 0
20.07.2017, 05:15
| Ответить | Цитировать | Написать  
Подписать e-mail сертификатом, но надо это сделать под NetworkService Account
    #39491961
Дмитрий77
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Дмитрий77
Участник
Вроде разобрался

How to assign a certificate to a service?

Заработало.

mmc-> Добавить или удалить оснастку ->
сертификаты -> добавить
учетной записи компьютера -> управляет локальным компьютером

выбираем из меню сертификата
все задачи -> управление закрытыми ключами

для NETWORK SERVICE даем доступ на чтение
...
Рейтинг: 0 / 0
20.07.2017, 06:17
| Ответить | Цитировать | Написать  
Подписать e-mail сертификатом, но надо это сделать под NetworkService Account
    #39492420
Дмитрий77
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Дмитрий77
Участник
А программно как то можно READ-access для закрытых ключей для NETWORK SERVICE, для конкретного сертификата проверить/установить?

Я с сертификатами работал только с .Net -кодами типа приведенных в первом посте.
Опыт работы с "безопасность" DACL и т.п. (а-ля cacl/icacl) как бы есть немалый, но чисто через API c объектами типа File, Folder, реестр, NT Service но никак не с сертификатами.

До кучи еще неплохо бы научиться устанавливать сертификат кодом.
Хотя бы переустанавливать.
Т.е. например серт. установлен в .CurrentUser, хочется его переустановить в .LocalSystem (мастер экспорта-импорта).
(про то что это делать с правами администратора понятно)

Т.е. типичная ситуация. Юзер поимел email-сертификат откуда-нибудь с комодо.
Браузер его бухнул в CurrentUser.
Надо:
1) скопировать его в .LocalSystem (ручками мастер экспорта-импорта)
2) дать Read доступ для закрытых ключей для NETWORK SERVICE (ручками как описал в предыдущем посте)

При этих 2-х условиях будет работать под NETWORK SERVICE код авто-подписывания из моего первого поста.
Ну, есть подозрение, что программно это как раз сделать можно.
Инструкции "сделать ручками", особенно с учетом второго пункта писать замудохаешься.
И главное юзер замудохается это делать.

Не так чтоб это первостепенная задача, но почему б не решить, если оно возможно.
...
Рейтинг: 0 / 0
20.07.2017, 14:52
| Ответить | Цитировать | Написать  
Подписать e-mail сертификатом, но надо это сделать под NetworkService Account
    #39493245
Дмитрий77
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Дмитрий77
Участник
А программно как то можно READ-access для закрытых ключей для NETWORK SERVICE, для конкретного сертификата проверить/установить?

Нарыл вот это:
How to set read permission on the private key file of X.509 certificate from .NET

С некоторой поправкой на честность кода (вариант что установлено больше одного правила, одно из которых напр. Allow All, а другое Deny Read теоретически возможен, но практически маловероятен)...

Проверка:
Код: vbnet
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
  Public Function IsNetworkServiceHasReadAccessToCert(ByRef cert As X509Certificate2) As Boolean
    If cert Is Nothing Then Return False
    Try
      Dim rsa As RSACryptoServiceProvider = cert.PrivateKey
      If rsa Is Nothing Then Return False
      Dim cspParams As CspParameters = New CspParameters(rsa.CspKeyContainerInfo.ProviderType, rsa.CspKeyContainerInfo.ProviderName, rsa.CspKeyContainerInfo.KeyContainerName)
      With cspParams
        .Flags = CspProviderFlags.UseExistingKey Or CspProviderFlags.UseMachineKeyStore
        .CryptoKeySecurity = rsa.CspKeyContainerInfo.CryptoKeySecurity
      End With
      For Each Rule As AuthorizationRule In _
       cspParams.CryptoKeySecurity.GetAccessRules(True, True, GetType(System.Security.Principal.NTAccount))
        Try
          If Rule.IdentityReference.Translate(GetType(SecurityIdentifier)) = _
           New SecurityIdentifier(WellKnownSidType.NetworkServiceSid, Nothing) Then
            Dim accessRule As CryptoKeyAccessRule = DirectCast(Rule, CryptoKeyAccessRule)
            If ((accessRule.CryptoKeyRights And CryptoKeyRights.GenericRead) = CryptoKeyRights.GenericRead) And _
             (accessRule.AccessControlType = AccessControlType.Allow) Then
              Return True
            End If
          End If
        Catch
        End Try
      Next
    Catch
    End Try
    Return False
  End Function



Установка Read-доступа:
Код: vbnet
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
  Public Function SetNetworkServicesReadAccessToCert(ByRef cert As X509Certificate2) As Boolean
    If cert Is Nothing Then Return False
    Try
      Dim rsa As RSACryptoServiceProvider = cert.PrivateKey
      If rsa Is Nothing Then Return False
      Dim cspParams As CspParameters = New CspParameters(rsa.CspKeyContainerInfo.ProviderType, rsa.CspKeyContainerInfo.ProviderName, rsa.CspKeyContainerInfo.KeyContainerName)
      With cspParams
        .Flags = CspProviderFlags.UseExistingKey Or CspProviderFlags.UseMachineKeyStore
        .CryptoKeySecurity = rsa.CspKeyContainerInfo.CryptoKeySecurity
      End With

      'set rule
      cspParams.CryptoKeySecurity.AddAccessRule _
       (New CryptoKeyAccessRule(New SecurityIdentifier(WellKnownSidType.NetworkServiceSid, Nothing), _
       CryptoKeyRights.GenericRead, AccessControlType.Allow))
      Using rsa2 As New RSACryptoServiceProvider(cspParams)
        'Only created to persist the rule change in the CryptoKeySecurity
      End Using
      'на всяк. случай проверим
      If IsNetworkServiceHasReadAccessToCert(cert) Then Return True
    Catch
    End Try
    Return False
  End Function



Ну, единственное неудобство, чтоб хотя бы просто узнать есть ли Read доступ,
надо запускать код под администратором,
иначе
Код: vbnet
1.
Dim rsa As RSACryptoServiceProvider = cert.PrivateKey


тупо вылетит с Exeption, нет похоже прав у простого смертного юзера даже знать, кто может пользоваться private keys, а кто нет.
Или я чего-то недопонял.
А обидно однако, обычно проверку делаем под юзером,
а уж настройки менять - "вызываем админа".
Причем эту логику и в инсталлятор не запихнешь, потому как завязана на конкретный e-mail адрес и сертификат к нему.
...
Рейтинг: 0 / 0
22.07.2017, 07:23
| Ответить | Цитировать | Написать  
Подписать e-mail сертификатом, но надо это сделать под NetworkService Account
    #39493256
Дмитрий77
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Дмитрий77
Участник
Дмитрий77Т.е. типичная ситуация. Юзер поимел email-сертификат откуда-нибудь с комодо.
Браузер его бухнул в CurrentUser.
Надо:
1) скопировать его в .LocalSystem (ручками мастер экспорта-импорта)
Это вроде просто (asAdmin):

Код: vbnet
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
  Private Sub ButtonReinstallToLocal_Click(sender As Object, e As EventArgs) Handles ButtonReinstallToLocal.Click
    Dim certificate As X509Certificate2 = _
    GetCertForSignature("blabla@gmail.com", StoreLocation.CurrentUser)
    If certificate IsNot Nothing Then
      MsgBox("cert. found in current user")
      MsgBox(ReInstallCertToLocalMachine(certificate))
    Else
      MsgBox("cert. not found in current user")
    End If
  End Sub


  Public Function ReInstallCertToLocalMachine(ByRef cert As X509Certificate2) As Boolean
    Try
      Dim sb As Byte()
      sb = cert.Export(X509ContentType.Pkcs12, "12345")
      Dim newcert As X509Certificate2 = _
       New X509Certificate2(sb, "12345", X509KeyStorageFlags.Exportable Or X509KeyStorageFlags.MachineKeySet Or X509KeyStorageFlags.PersistKeySet)
      Dim store As X509Store = New X509Store(StoreLocation.LocalMachine)
      store.Open(OpenFlags.ReadWrite)
      store.Add(newcert)
      store.Close()
      Return True
    Catch
      Return False
    End Try
  End Function
...
Рейтинг: 0 / 0
22.07.2017, 09:15
| Ответить | Цитировать | Написать  
5 сообщений из 5, страница 1 из 1
Форумы / WinForms, .Net Framework [игнор отключен] [закрыт для гостей] / Подписать e-mail сертификатом, но надо это сделать под NetworkService Account
Целевая тема:
Создать новую тему:
Автор:
Закрыть
Цитировать
Найденые пользователи ...
Разблокировать пользователей ...
Читали тему (0):
Читали форум (0):
Пользователи онлайн (0):
Польз. соглашение
NoSQL.ru       Новости, Чат       Фотоальбом: Участники, Встречи
Закрыть
start [/forum/topic.php?fid=20&fpage=41&tid=1399790]:
 0ms
get settings:
 10ms
get forum list:
 12ms
check forum access:
 3ms
check topic access:
 3ms
track hit:
 104ms
get topic data:
 11ms
get forum data:
 2ms
get page messages:
 40ms
get tp. blocked users:
 2ms
others: 14ms
total:  201ms
созд. / загр.: 201ms
x
x
Закрыть


Просмотр
0 / 0
Close
Debug Console [Select Text]