通过删除多个 RSA 文件来清理我的 MachineKeys 文件夹,而不触及 IIS 文件

问题描述 投票:0回答:4

我当前正在使用实例化证书的应用程序在我的服务器上运行 IIS。

通过执行此代码,例如:

X509Certificate2 myX509Certificate = new 
X509Certificate2(Convert.FromBase64String(byteArrayRawCertificate), passwordCertificate, 
X509KeyStorageFlags.Exportable | 
X509KeyStorageFlags.MachineKeySet | 
X509KeyStorageFlags.PersistKeySet);

代码运行良好。但我在我的计算机上遇到了问题,在以下文件夹中:

C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys

3KB RSA 文件不断添加到该文件夹中。目前,我有超过一百万个这样的文件:

enter image description here

我想删除这些文件,但是:

  • IIS 使用其中之一来加密密码,或者可能用于其他 目的,但我不知道是哪一个,

  • 删除这么大的文件夹可能需要时间(例如几天)

    1. 有没有一种简单的方法可以避免一次又一次地创建这些文件? (如果我在实例化我的证书时不提及“MachineKeySet”,这将不起作用)
    2. 如果没有,有没有办法删除创建的文件而不删除 IIS 文件?
    3. 有没有办法检测 IIS 使用了哪些文件?

预先感谢您的帮助。

iis rsa x509certificate2
4个回答
7
投票

有一些工作适合你。首先,您*不能*每次需要访问 PFX 文件时都实例化 

X509Certificate2
对象。这是非常糟糕的主意。这会导致在 MachineKeys 文件夹中生成一个新的密钥文件。相反,您必须将证书安装到本地证书存储一次,然后引用已安装的证书。

使用

X509Store.Add()
方法将证书安装到本地存储:

X509Certificate2 myX509Certificate = new 
X509Certificate2(Convert.FromBase64String(byteArrayRawCertificate), passwordCertificate, 
X509KeyStorageFlags.MachineKeySet);
X509Store store = new X509Store(StoreName.My, StoreLocation.LocalMachine);
store.Open(OpenFlags.ReadWrite);
store.Add(myX509Certificate);
store.Close()

下次您需要访问证书和私钥时,请使用相同的 

X509Store
类,如下所示:

X509Store store = new X509Store(StoreName.My, StoreLocation.LocalMachine);
store.Open(OpenFlags.ReadOnly);
X509Certificate2 myCert = store.Certificates.Find(blablabla);
store.Close()

指定搜索过滤器而不是“

blablabla
”:
X509Certificate2Collection.Find()
。您可以使用各种过滤器选项来查找您的证书。最常用的是指纹。

关于大文件夹。如果您确定 LocalMachine\My 商店中没有其他证书,您可以简单地清除所有内容,然后使用上面的代码安装您的证书。

6
投票

遇到了同样的问题,并且非常害怕删除某些内容,正如我在其他来源上读到的那样,其中有一些对系统至关重要的文件。通过删除这几个,您最终可能会弄乱 IIS 或其他软件。

由于我在那里有 8'000'000 个文件,我什至无法打开该文件夹 - 我所做的是用 C# 编写一个小程序,删除由所有者(创建它们的用户)判断的文件!如果它们是由 IIS 用户创建的,那么这样做是安全的(请确保您了解自己在做什么!)

        var userNameToDeleteBy = "IIS_App_Pool_User_Goes_here!";

        var allFiles = (new DirectoryInfo(Directory.GetCurrentDirectory()).EnumerateFiles());

        var i = 0;

        foreach (var file in allFiles)
        {

            var fname = file.FullName;
            string user = System.IO.File
                .GetAccessControl(fname)
                .GetOwner(typeof(System.Security.Principal.NTAccount))
                .ToString();

            if(user.Contains(userNameToDeleteBy))
            {
                File.Delete(fname);
                i++;
            }

            //output only every 1k files, as this is the slowest operation
            if (i % 1000 == 0) Console.WriteLine("Deleted: " + i); 
        }

此外,如果您确实需要从文件加载证书,这里是有关如何使文件夹无垃圾的答案:

创建 X509Certificate2 时防止创建文件?

0
投票

这是一个 Powershell 脚本,用于删除特定应用程序池用户拥有的所有计算机密钥。

它基本上与@halloweenlv制作的C#程序相同(powershell脚本似乎更实用)

param(
  [ValidateNotNullOrEmpty()]
  [Parameter(Mandatory=$true)]
  [string] $ApplicationPoolName,
  [string] $MachineKeysDirectory = "C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys"
)

$nrOfKeysDeleted = 0;

foreach ($keyPath in [IO.Directory]::EnumerateFiles($MachineKeysDirectory)) {
  $owner = Get-Acl -Path $keyPath | Select-Object -ExpandProperty "Owner";

  if ($owner -eq "IIS APPPOOL\$ApplicationPoolName") {
    [System.IO.File]::Delete($keyPath)
    $nrOfKeysDeleted++;
  }

  if ($nrOfKeysDeleted  -gt 0 -and $nrOfKeysDeleted % 1000 -eq 0) {
    Write-Output -Verbose "Deleted $nrOfKeysDeleted keys";
  }
}

Write-Output -Verbose "Deleted $nrOfKeysDeleted keys";

此目录中的机器密钥是 system 文件。如前所述,某些文件对系统至关重要,因此简单地删除所有文件并不是一个好主意。

性能还可以,但不是很好。在我的服务器上,删除 1000 个密钥大约需要 5 秒。一百万把钥匙大约需要一个半小时。

0
投票

我们最终遇到了同样的问题...... 42 GB 的机器密钥文件。所以我写了这个powershell:RemoveMachineKeys.ps1。花了一段时间才真正开始删除它们,但一旦删除,脚本就会很快地删除它们。我添加了防止删除 IIS 机器密钥的保护。

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.