最近在项目中需要用到X509数字证书加解密数据的功能,在网上参考了很多相关博文,总算基本搞定任务。期间碰到一个比较头疼的问题,就是通过VS命令行工具makecert命令生成的数字证书,在调试阶段可以通过X509Store.Certificates.Find方法获取到,一旦发布到本机IIS后就读取不到证书了。经过仔细排查,基本确定了问题的根源。总结这次碰到的问题:
- 为方便发布,最好将makecert 的-sr参数指定为localmachine,而不是currentuser.然后在代码中使用
// 打开证书存储区 X509Store store = new X509Store(StoreName.My, StoreLocation.LocalMachine);
- 比较关键的是,设置证书的访问权限,否则就无法读取。
添加IIS_IUSRS用户就可以在IIS发布后正常读取安装的证书了。当然,为了调试方便,可以直接添加Everyone用户访问权限。
时间仓促,暂时用这个办法解决了。对X509证书也是初次接触,没做过多研究,有什么不妥之处,还请各位批评指正。