Solución:
Aquí está la respuesta.
Se creó un archivo de secuencia de comandos de PowerShell AddUserToCertificate.ps1
Aquí está el contenido del archivo de secuencia de comandos.
param(
[string]$userName,
[string]$permission,
[string]$certStoreLocation,
[string]$certThumbprint
);
# check if certificate is already installed
$certificateInstalled = Get-ChildItem cert:$certStoreLocation | Where thumbprint -eq $certThumbprint
# download & install only if certificate is not already installed on machine
if ($certificateInstalled -eq $null)
{
$message="Certificate with thumbprint:"+$certThumbprint+" does not exist at "+$certStoreLocation
Write-Host $message -ForegroundColor Red
exit 1;
}else
{
try
{
$rule = new-object security.accesscontrol.filesystemaccessrule $userName, $permission, allow
$root = "c:programdatamicrosoftcryptorsamachinekeys"
$l = ls Cert:$certStoreLocation
$l = $l |? {$_.thumbprint -like $certThumbprint}
$l |%{
$keyname = $_.privatekey.cspkeycontainerinfo.uniquekeycontainername
$p = [io.path]::combine($root, $keyname)
if ([io.file]::exists($p))
{
$acl = get-acl -path $p
$acl.addaccessrule($rule)
echo $p
set-acl $p $acl
}
}
}
catch
{
Write-Host "Caught an exception:" -ForegroundColor Red
Write-Host "$($_.Exception)" -ForegroundColor Red
exit 1;
}
}
exit $LASTEXITCODE
Ahora ejecútelo como parte de la implementación. Ejemplo para ejecutar el script anterior en la ventana de la consola de PowerShell.
C:>.AddUserToCertificate.ps1 -userName testuser1 -permission read -certStoreLocation LocalMachineMy -certThumbprint 1fb7603985a8a11d3e85abee194697e9784a253
este ejemplo da leer permiso al usuario testuser1 en el certificado que está instalado en LocalMachine Mi y tiene huella del pulgar 1fb7603985a8a11d3e85abee194697e9784a253
Si está utilizando ApplicationPoolIdentity, su nombre de usuario será ‘IIS AppPool AppPoolNameHere’
Nota: Necesitarás usar ” ya que hay un espacio entre IIS y AppPool.
La respuesta anterior no funcionó para mí ya que el $_.privatekey
devuelto nulo. Logré obtener acceso a la clave privada y asignar permisos de lectura para mi grupo de aplicaciones de la siguiente manera:
param (
[string]$certStorePath = "Cert:LocalMachineMy",
[string]$AppPoolName,
[string]$certThumbprint
)
Import-Module WebAdministration
$certificate = Get-ChildItem $certStorePath | Where thumbprint -eq $certThumbprint
if ($certificate -eq $null)
{
$message="Certificate with thumbprint:"+$certThumbprint+" does not exist at "+$certStorePath
Write-Host $message -ForegroundColor Red
exit 1;
}else
{
$rsaCert = [System.Security.Cryptography.X509Certificates.RSACertificateExtensions]::GetRSAPrivateKey($certificate)
$fileName = $rsaCert.key.UniqueName
$path = "$env:ALLUSERSPROFILEMicrosoftCryptoKeys$fileName"
$permissions = Get-Acl -Path $path
$access_rule = New-Object System.Security.AccessControl.FileSystemAccessRule("IIS AppPool$AppPoolName", 'Read', 'None', 'None', 'Allow')
$permissions.AddAccessRule($access_rule)
Set-Acl -Path $path -AclObject $permissions
}
Como alternativa al guión anterior. Puede usar el módulo de PowerShell. No lo he probado yo mismo, pero el módulo se ve bien. http://get-carbon.org/index.html
Aquí está el comando para establecer permisos http://get-carbon.org/Grant-Permission.html