machinekeys что это за папка
Разрешения по умолчанию для папок MachineKeys
В этой статье описываются разрешения по умолчанию для папок MachineKeys.
Применяется к: Windows Server 2003
Исходный номер КБ: 278381
Сводка
В папке MachineKeys хранится пара ключей сертификата как для компьютера, так и для пользователей. Эту папку используют как службы сертификата, так и Internet Explorer. Разрешения по умолчанию в папке могут вводить в заблуждение при попытке определить минимальные разрешения, необходимые для правильной установки и доступа к сертификатам.
Разрешения по умолчанию для папки MachineKeys
Папка MachineKeys расположена под All Users Profile\Application Data\Microsoft\Crypto\RSA папкой. Если администратор не установил папку до минимального уровня, пользователь может получить следующие ошибки при создании сертификата сервера с помощью сервера информации в Интернете (IIS).:
Следующие параметры — это разрешения по умолчанию для папки MachineKeys:
Разрешения для всех групп
Чтобы просмотреть специальные разрешения для группы Everyone, щелкните правой кнопкой мыши папку MachineKeys, выберите Расширенный на вкладке Безопасность, а затем выберите View/Edit. Разрешения состоят из следующих разрешений:
Выберите «Разрешения сброса» на всех объектах Child и в поле «Разрешить доступ к наследуемым разрешениям». Администратор не имеет полного контроля над детскими объектами, чтобы защитить частную часть пары ключей пользователя. Но администратор по-прежнему может удалять сертификаты для пользователя.
Дополнительные сведения см. в следующей статье:
Настройка необходимых разрешений и прав пользователей NTFS для веб-сервера IIS 5.0, IIS 5.1 или IIS 6.0.
Папка Crypto в папке Microsoft — что это?
Папка Crypto в папке Microsoft — содержит данные, связанные с криптографией при использовании алгоритма шифрования RSA (может например потребоваться для ЭЦП).
Простыми словами: если на ПК установлено ПО по работе с электронно-цифровой подписью, например КриптоПро, то удалять данную директорию не стоит. В другом случае — лучше сделать бэкап содержимого, после пробовать удалить, при наличии проблем — восстановить содержимое. Но в любом случае — все на свой страх и риск. Второе — идеально создать образ системы, а не точку восстановления, тогда папку можно просто удалить, а если будут проблемы при удалении (если висит замочек) — используйте утилиту Unlocker.
Разбираемся
Эта папка может быть на Windows XP, точный путь:
C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto
С папкой могут происходить странные явления — при открытии свойств размер может постоянно увеличиваться. Внутри Crypto часто бывает папка RSA\MachineKeys, в свойствах написано что файлов много, но если открыть эту папку — не видно ни одного. Эти файлы даже нельзя проверить антивирусом.
В интернете пишут что данная папка предназначена для хранения данных, связанных с криптографией используя алгоритм RSA (может использоваться электронно-цифровой подписью). Скорее всего именно поэтому файлов невидно.
Также найдена версия, что Crypto — директория системного API, который отвечает за криптографию (ключи шифрования). Если очистить папку, то файлы будут генерироваться новые, но лучше их не удалять, могут быть проблемы с некоторым установленным ПО (например Крипто Про).
В каталоге RSA\MachineKeys могут хранится данные ключей сертификатов для пользователей и компьютеров. Данные используются службами сертификации и Internet Explorer, а также другими браузерами. Поэтому удалять эти данные нежелательно.
Пример содержания директории MachineKeys:
Надеюсь данная информация оказалась полезной. Удачи и добра, до новых встреч друзья!
Где в Windows хранятся корневые сертификаты Центров Сертификации (CA)
Общесистемные корневые CA сертификаты
Если вы задаётесь вопросом, в какой папке хранятся сертификаты в Windows, то правильный ответ в том, что в Windows сертификаты хранятся в реестре. Причём они записаны в виде бессмысленных бинарных данных. Чуть ниже будут перечислены ветки реестра, где размещены сертификаты, а пока давайте познакомимся с программой для просмотра и управления сертификатами в Windows.
В Windows просмотр и управление доверенными корневыми сертификатами осуществляется в программе Менеджер Сертификатов.
Чтобы открыть Менеджер Сертификатов нажмите Win+r, введите в открывшееся поле и нажмите Enter:
Перейдите в раздел «Доверенные корневые центры сертификации» → «Сертификаты»:
Здесь для каждого сертификата вы можете просматривать свойства, экспортировать и удалять.
Просмотр сертификатов в PowerShell
Чтобы просмотреть список сертификатов с помощью PowerShell:
Чтобы найти определённый сертификат выполните команду вида (замените «HackWare» на часть искомого имени в поле Subject):
Теперь рассмотрим, где физически храняться корневые CA сертификаты в Windows. Сертификаты хранятся в реестре Windows в следующих ветках:
Сертификаты уровня пользователей:
Сертификаты уровня компьютера:
Сертификаты уровня служб:
Сертификаты уровня Active Directory:
И есть несколько папок и файлов, соответствующих хранилищу сертификатов Windows. Папки скрыты, а открытый и закрытый ключи расположены в разных папках.
Пользовательские сертификаты (файлы):
Компьютерные сертификаты (файлы):
Рассмотрим теперь где хранятся корневые CA сертификаты веб-браузеров.
Google Chrome
Использует общесистемные доверенные корневые центры сертификации.
Чтобы перейти к списку сертификатов из веб браузера:
Настройки → Приватность и Защита → Безопасность → Управление сертификатами → Просмотр сертификатов → Центры сертификации → Доверенные корневые центры сертификации:
Opera
Чтобы перейти к списку сертификатов из веб браузера: Настройки → Перейти к настройкам браузера → Дополнительно → Безопасность → Ещё → Настроить сертификаты → Доверенные корневые центры сертификации:
Firefox
Приватность и Защита → Сертификаты → Просмотр сертификатов → Центры сертификации:
Для глубокого понимания OpenSSL смотрите также полное руководство: «OpenSSL: принципы работы, создание сертификатов, аудит».
В этой статье помогают устранить ошибку, которая возникает при попытке импортировать файл закрытого сертификата ключа безопасного уровня sockets (SSL) (.pfx) в локальный магазин персональных сертификатов компьютера с помощью Microsoft IIS (IIS) Manager.
Оригинальная версия продукта: службы IIS
Исходный номер КБ: 919074
В статье содержатся сведения об изменении реестра. Перед внесением любых изменений в реестр, создайте его резервную копию. и изучить процедуру его восстановления на случай возникновения проблемы. Дополнительные сведения о том, как восстановить, восстановить и изменить реестр, см. в Windows реестра для продвинутых пользователей.
Симптомы
Невозможно импортировать файл pfx. Либо вы ввели неправильный пароль для этого файла, либо срок действия сертификата истек.
Произошла внутренняя ошибка. Это может быть либо недоступный профиль пользователя, либо закрытый ключ, который вы импортируете, может потребоваться поставщику криптографических служб, который не установлен в вашей системе.
Причина
Такое поведение происходит, когда одно или несколько из следующих условий являются верными:
Чтобы устранить это поведение, используйте одно из следующих решений, соответствующее вашей ситуации.
Разрешение 1. Установите правильные разрешения для папки MachineKeys
Если у вас недостаточно разрешений для доступа к папке на компьютере, установите правильные разрешения DriveLetter:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys для папки.
Дополнительные сведения о том, как установить разрешения для папки MachineKeys, см. в дополнительных сведениях о разрешениях по умолчанию для папок MachineKeys.
Разрешение 2. Удаление под ключа сторонних реестров
Неправильное изменение параметров системного реестра с помощью редактора реестра или любым иным путем может привести к возникновению серьезных неполадок. Из-за них может потребоваться переустановка операционной системы. Компания Microsoft не может гарантировать, что эти проблемы могут быть решены. Вносите изменения в реестр на ваш страх и риск.
Если существует следующий подкай реестра, удалите его:
HKEY_USERS\Default\Software\Microsoft\Cryptography\Providers\Type 001
После удаления этого под ключа реестра IIS может получить доступ к поставщику криптографических служб.
Разрешение 3. Локальное хранение профиля пользователя для сеанса служб терминалов
Если профиль пользователя для сеанса служб терминалов не хранится локально на сервере с включенной службой терминалов, переместим профиль пользователя на сервер, на который включены службы терминалов. Кроме того, используйте профили роуминга.
Статус
Такое поведение является особенностью данного продукта.
Очистите мою папку MachineKeys, удалив несколько файлов RSA, не касаясь IIS
В настоящее время я запускаю IIS на своем сервере, используя приложение, создающее экземпляры сертификатов.
Например, выполнив этот код :
Код работает отлично. Но я столкнулся с проблемой на своем компьютере, в следующей папке :
Файлы 3KB RSA продолжают добавляться в эту папку. На данный момент у меня есть более миллиона таких файлов :
Я хотел бы удалить эти файлы, но :
Удаление такой большой папки может занять некоторое время (например, несколько дней)
Заранее спасибо за вашу помощь.
3 ответа
У меня есть системный файл в каталоге, к которому я могу перейти и фактически увидеть, но когда я использую CMD и вызываю DIR в этом каталоге, он не возвращает запись для файлов там. Кроме того, если я попытаюсь удалить один из указанных файлов с помощью команды DEL, он скажет: не удалось найти.
У меня была такая же проблема, и я очень боялся что-то удалить, как я читал в других источниках, что там есть некоторые критически важные для системы файлы. Удалив эти несколько, вы можете получить испорченный IIS или другое программное обеспечение.
Кроме того, если вам действительно нужно загрузить сертификат из файла, вот ответ о том, как оставить папку без мусора:
Для тебя есть кое-какая работа. Во-первых, вы * НЕ ДОЛЖНЫ * создавать экземпляр объекта X509Certificate2 из файла PFX каждый раз, когда вам нужно получить к нему доступ. Это очень хорошая идея. Это приведет к созданию нового ключевого файла в папке MachineKeys. Вместо этого необходимо один раз установить сертификат в локальное хранилище сертификатов, а затем сослаться на установленный сертификат.
Используйте метод X509Store.Add() для установки certficate в локальное хранилище:
В следующий раз, когда вам понадобится получить доступ к сертификату и закрытому ключу, используйте тот же класс X509Store следующим образом:
Относительно большой папки. Если вы уверены, что в хранилище LocalMachine\My нет других сертификатов, вы можете просто очистить все содержимое, а затем установить сертификат, используя приведенный выше код.
Я искал все вокруг и не мог найти много информации, в основном у меня есть Windows 2008 R2,я создал PowerShell скрипт для загрузки файла PFX в хранилище сертификатов локальной машины уже. Теперь мне нужно предоставить разрешение моему пулу приложений на чтение закрытого ключа сертификата с помощью.
Хороший день У меня возникли серьезные проблемы при попытке назначить закрытый ключ из-за этой ошибки. System.Security.Cryptography.CryptographicException: Keyset does not exist var store = new X509Store(StoreName.My, StoreLocation.LocalMachine); store.Open(OpenFlags.ReadOnly); var col =.
Это сценарий Powershell, который удаляет все ключи компьютера, принадлежащие конкретному пользователю пула приложений.
Он в основном делает то же самое, что и программа C#, сделанная @halloweenlv (сценарий powershell казался более практичным)
Ключи машины в этом каталоге являются системными файлами. Как уже упоминалось ранее, некоторые файлы имеют решающее значение для системы, поэтому просто удалить все это не очень хорошая идея.
Производительность OK, но не очень большая. На моем сервере потребовалось около 5 секунд, чтобы удалить 1000 ключей. Это примерно полтора часа на миллион ключей.
Похожие вопросы:
Я зашифровал сообщение с помощью алгоритма RSA на языке программирования C. Я хочу зашифровать несколько файлов, которые хранятся в определенной папке, используя один и тот же ключ. В IAM.
Мы используем аутентификацию ClientCertificate с HttpWebRequest. Для аутентификации сертификата клиента мы создаем X509Certificate из файла Pfx и прикрепляем его к исходящему HttpWebRequest. Мы.
У меня есть системный файл в каталоге, к которому я могу перейти и фактически увидеть, но когда я использую CMD и вызываю DIR в этом каталоге, он не возвращает запись для файлов там. Кроме того.
Я искал все вокруг и не мог найти много информации, в основном у меня есть Windows 2008 R2,я создал PowerShell скрипт для загрузки файла PFX в хранилище сертификатов локальной машины уже. Теперь мне.
Хороший день У меня возникли серьезные проблемы при попытке назначить закрытый ключ из-за этой ошибки. System.Security.Cryptography.CryptographicException: Keyset does not exist var store = new.
У меня возникли проблемы с моей службой push-уведомлений WCF. Каждый раз, когда он отправляет push-уведомление apple, внутри папки C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys генерируется новый.