AspNet Core, использующий в памяти репо для защиты данных при работе в IIS

Question

Я запускаю производственный сервер (Windows Server 2012) с веб-сайтом AspNet Mvc Core RC1.

Я вижу следующие в журналах:

Neither user profile nor HKLM registry available. Using an ephemeral key repository. Protected data will be unavailable when application exits. 

После проверки исходного кода DataProtection, я отслеживал проблему метода следующий вызов:

Environment.GetFolderPath(Environment.SpecialFolder.LocalApplicationData) 

Это, вероятно, возвращение по какой-то причине на сервере. У меня нет специальной настраиваемой конфигурации, и я прочитал docs, поэтому я думал, что дефолт будет работать.

Я думаю, проблема связана с тем, что веб-сайт IIS не работает в определенном контексте пользователя, но я понятия не имею, как подтвердить или исправить это. Мой сайт настроен с собственным пулом.

В результате: результат работы в хранилище памяти для хранения ключей заставляет их перерабатывать всякий раз, когда приложение выходит, что очень раздражает и даже не предназначено для использования в производственных средах.

Answer 1

Профиль пользователя должен быть загружен в конфигурацию IIS.

Открыть IIS, щелкнуть правой кнопкой мыши по пулам приложений, а затем расширенные настройки. И установите для параметра «Загрузить профиль пользователя» значение true. Перезагрузите приложение, и оно должно работать отлично.

Answer 2

Ключи защиты данных, используемые приложениями ASP.NET, хранятся в краях реестра, внешних по отношению к приложениям. При запуске приложения в качестве идентификатора AppPool вам необходимо создать куст реестра для для каждого AppPool, используемого в приложении ASP.NET Core.

Для автономных установок IIS вы можете использовать Data Protection PowerShell scriptдля каждого пула приложений, используемого с приложением ASP.NET Core. Ключи сохраняются в реестре.

Как четко указано в журналах, так как куст реестра, который ищет защита данных, не существует, ключи не будут сохраняться на диске. Вместо этого они будут эфемерными и живут только в памяти.

В сценариях веб-фермы приложение может быть настроено на использование UNC-пути для хранения своего ключевого кольца защиты данных. По умолчанию ключи защиты данных не шифруются. Вы можете развернуть сертификат x509 для каждой машины для шифрования брелка.

Смотрите official ASP.NET Core docs для получения дополнительной информации

Answer 3

Посмотрите на this from the DataProtection Git repository

Короче говоря, есть ошибка в IIS, которые никогда не могут быть исправлены, что предотвратить правильную настройку реестра для ключей DataProtection. Существует powershell script, чтобы правильно настроить реестр правильно, чтобы он работал в AspNet Core. После запуска сценария для каждого пула приложений, который вы используете для приложений AspNet Core, эти приложения будут работать по назначению.