Доступ к хранилищу сертификатов ЭП из сеанса под IIS #777324

win2008r2 + 1С 8.3 + IIS Имею http-сервис опубликованный на IIS, необходимо работать с ЭП (проверять подпись запроса и формировать подпись для ответа). Пул приложений 1С в ISS стартует под собственным пользователем IIS APPPOOL 1C. Свой сертификат RSA с закрытым ключом установил в хранилище компьютераличные, дал полные права доступа к нему пользователю IIS APPPOOL 1C (пробовал как через mmc, так и через утилиту winhttpcertcfg). Также пробовал ставить сертификат в хранилище пользователяличные. Следующий код не видит сертификата: МК = Новый МенеджерКриптографии("Microsoft Enhanced Cryptographic Provider v1.0","",1);      Также пробовал стартовать пул приложений 1С под учеткой Network service и под своей личной учеткой - не помагает. Если запустить толстый клиент на этой машине, то сертификат видится без проблем. Ребята, есть идеи?

Ап.

Полагаю что ветка реестра "хранилище компьютераличные" не видна под другим пользователем, не?

если имеется в виду HKEY_CURRENT_USERSoftwareMicrosoftSystemCertificates и HKEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificates То доступ с наследованием на обе ветки проставил, сертификат все равно не видит.

Если смотреть через толстый клиент, то текущему пользователю доступно только хранилище пользователя и сертификат виден, а на хранилище компа выдается ошибка, но если на его ветку в реестре добавить права текущему пользователю и поместить туда сертификат, то ошибки не появляется, но ни одного сертификата в этом хранилище не видно. Поставил сертификат в хранилище пользователя, сделал запуск пула приложений от имени текущего пользователя, сертификаты хранилища пользователя все-равно не видны.

Up

С местом исполнения не ошибся: клиент-сервер?

http-сервис вроде исполняется на сервере, при этом используются синхронные вызовы методов, так что вроде контекст правильный.

ну а толстый клиент на клиенте работает.

Да, с толстым все ок.

Ап

Попробовал через CAPICOM, он видит сертификаты, но при попытке подписать (последняя строка в коде) валится с ошибкой "Ошибка при вызове метода контекста (Sign): Произошла исключительная ситуация: Набор ключей не существует". Пул приложений 1С сейчас стартует под локальным пользователем. Этот же код, но в толстом клиенте под локальным пользователем работает без проблем. // CAPICOM constants

Ап

Попробовал сделать через обертку .Net В толстом клиенте все работает. Из модуля http-сервиса пула приложений запускаемого от этого же пользователя - падает на первой строке как-будто COM интерфейс не зарегистрирован. Интересно это фундаментальные ограничения или какой-то косяк с правами доступа?

Возможно не зарегистрирован. Там нужно в поставке идет RegAsm.bat который нужно запустить от администратора Внутри %SystemRoot%Microsoft.NETFrameworkv4.0.30319RegAsm.exe  "%~dp0NetObjetToIDispatch45.dll" /codebase

Ну и  посмотреть настройки пула какой .Net FrameWork использует

Зарегистрирован батником, в толстом клиенте на этой же машине код полностью отрабатывает. А при запуске через пул приложений IIS на вызов http-сервиса - падает.

В настройках пула 1С рекомендует ставить Без управляемого кода, но я пробовал ставить 4 Net все-равно падает.

Там 2 строчки одна для 32 разрядного (Толстый клиент) Вторая для 64 разрядного. Запусти из под cmd

Запускал cmd под админскими правами и оттуда уже батник. В реестре вроде прописался HKEY_CLASSES_ROOTCLSID{8693BBEC-C964-4478-AFCB-E8D15FD8F4F6}

Попробуй для проверки из фонового задания запустить

Пул приложений 32 разрядный.

Может прав на папку не хватает?

Папку с dll ? Права полные для текущего пользователя - в толстом клиенте все отрабатывает, через пул приложений под правами того же текущего пользователя - нет.

Кстати ProgID DFDADA57-B22C-4276-928A-8B91C9891FF1 Посмотри права DCOM

Спасибо, позже попробую.

Это через оснастку Службы компонентовНастройка Dcom ?

У меня база стартует в файловом режиме.

Политики попробую попозже.

При регистрации он кстати ругался на ключ /codebase но потом написал, что типы успешно зарегистрированы

У меня в дереве Dcom нет NetObjetToIDispatch45 Дерево смотрю 32 разрядное через mmc comexp.msc /32

Кстати а в роли от кого запускается 1С стоит галка Automation

Попробуй установить Привилегированный режим

Сейчас поставил общие права на объекты Dom и прописал права в локальных политиках, теперь ошибка Отказано в доступе. Но сервер еще не перезагружал.

Стоит Не помогло Сейчас опять выдает ошибку Класс не зарегистрирован.

Такой объект тоже зарегистрирован HKEY_CLASSES_ROOTCLSID{DFDADA57-B22C-4276-928A-8B91C9891FF1}

Такое впечатление, что нет у тебя доступа к реестру.

Хочешь прикол? попытка //До сюда код выполняется и в БиблиотекаNET сидит COMОбъект а на следующей строке все падает с ошибкой "Ошибка при вызове метода контекста (СоздатьОбъект): Произошла исключительная ситуация (mscorlib): Адресат вызова создал исключение."

Посмотри настройки пула

Попробуй просто ПолучитьТип А сервис запускаешь от g.kondratyev

Там все вроде ок. Пул идентити сейчас g.kondratyev

С ПолучитьТип полет нормальный

Значит проблема доступа к ,"C:Usersg.kondratyevDesktopleaderGKazimut360.pfx", Попробуй просто найти файл Можно создать и так

На второй строке этот код вызывает исключение.

Права на файл у g.kondratyev полные

Да, вы правы Файл.Существует = Ложь в чем может быть причина?

Mожет  С русская?

Путь копипастил с проводника и в толстом клиенте он работает :(

Переместил файл поближе и перевел в нижний регистр: c:1cbasegk.pfx Теперь файл существует, но при попытке падает: "Ошибка при вызове метода контекста (СоздатьОбъект): Произошла исключительная ситуация (NetObjetToIDispatch45): Ссылка на объект не указывает на экземпляр объекта."

аа, походу понял косяк

все-равно падает на последней строке  "Ошибка при вызове метода контекста (СоздатьОбъект): Произошла исключительная ситуация (mscorlib): Адресат вызова создал исключение.""

А что, за ошибка?

А Сообщить(ОписаниеОшибки);

Ошибка при вызове метода контекста (СоздатьОбъект): Произошла исключительная ситуация (mscorlib): Адресат вызова создал исключение.

И все? По идее и

Попробуй через Import

Serginio1 огромное спасибо за помощь, попробую импорт завтра, а также через X509Store.

Для флагов есть OR Например Код на C# new X509Certificate2(fileName, keyPassword, X509KeyStorageFlags.MachineKeySet | X509KeyStorageFlags.PersistKeySet | X509KeyStorageFlags.Exportable) Код на 1С Сертификат=X509Certificate2(fileName, keyPassword,Врап.OR( X509KeyStorageFlags.MachineKeySet, X509KeyStorageFlags.PersistKeySet, X509KeyStorageFlags.Exportable));

Перезагрузил сервер, настройки прав не решили ситуацию.

Пробую сейчас через хранилище Ошибка при получении значения атрибута контекста (PrivateKey): Неизвестная ошибка System.Reflection.TargetInvocationException: Адресат вызова создал исключение. ---> System.Security.Cryptography.CryptographicException: Не удается найти указанный файл.

Попробуй 63

Хорошая статья, но странно это, т.к. у меня в пуле приложений стоит Загрузить профиль пользователя = True, т.е. с этой настройкой должно работать создание объекта сертификата из файла, но нет. Далее предлагается поместить сертификат в хранилище компа, дать права на него пользователю под которым запускается пул, и достать его из хранилища, что собственно я успешно и делаю, но при обращении к закрытому ключу объекта сертификат получаю грабли.

Эврика! Рабочим оказался следующий код: Serginio1 огромное спасибо за участие, хотя еще мне нужно сделать проверку подписи входящего запроса, но если будут проблемы напишу сюда и надеюсь не откажите еще раз помочь.

Посмотри