我们刚刚将Visual Studio 2008项目升级到Visual Studio 2010。我们所有的程序集都使用Verisign代码签名证书进行强签名。自从升级以来,我们不断得到以下错误:

无法导入以下密钥文件:companyname.pfx。密钥文件可能有密码保护。若要纠正此问题,请尝试重新导入证书或使用以下密钥容器名称手动将证书安装到强名称CSP: VS_KEY_3E185446540E7F7A

这发生在一些开发人员机器上,而不是其他机器上。一些用来修复这个问题的方法有时有效,包括:

从Windows资源管理器重新安装密钥文件(右键单击PFX文件并单击安装) 第一次在新机器上安装Visual Studio 2010会在您第一次打开项目时提示您输入密码,然后它就可以工作了。在从Visual Studio 2008升级的机器上,没有此选项。

我已经尝试使用SN.EXE实用工具(强名称工具)向强名称CSP注册密钥,正如错误消息所建议的那样,但每当我使用Visual Studio 2010附带的版本运行带有任何选项的工具时,SN.EXE只是列出了它的命令行参数,而不是做任何事情。无论我提供什么参数,都会发生这种情况。

为什么会发生这种情况,有什么明确的步骤来解决它?我打算放弃ClickOnce安装和微软代码签名。


当前回答

我也遇到过这个问题。 我能够通过运行sn -i <KeyFile> <ContainerName>(将密钥对安装到命名容器中)来解决这个问题。

sn通常作为Windows SDK的一部分安装。例如C:\Program Files (x86)\Microsoft sdk \Windows\v8.0A\bin\NETFX 4.0 Tools\sn.exe。这个位置很可能不在标准环境的搜索路径上。但是,Visual Studio安装的“开发人员命令提示符”添加了额外的信息,通常包括正确的位置。

根据你的帖子看来

Sn -i公司名称。可以VS_KEY_3E185446540E7F7A

这必须从你的PFX文件的位置运行,如果你在VS 2010中加载了解决方案,你可以简单地从解决方案资源管理器中右键单击PFX文件,并选择打开命令提示符,这将在正确的目录中启动。net 2010 cmd提示符工具。

在运行这个sn命令之前,我确实重新安装了pfx,右键单击它并选择安装,但这并不奏效。只是需要注意的一点,因为它可能是两者的结合提供了解决方案。

其他回答

我通过更改Visual Studio项目的.csproj文件中的下面一行来解决这个问题:

这抛出了“不能导入”错误:

<PropertyGroup>
<SignManifests>true</SignManifests>
</PropertyGroup>

将值更改为false可以消除错误。

好吧,这招对我很管用。以管理员身份在Visual Studio 2010中打开旧的解决方案/项目,然后打开新的或复制的解决方案/项目。作为管理员,在新的Visual Studio 2010解决方案/项目中删除复制的pfk文件,并进入项目属性并取消选择它。

打开两个项目后,复制粘贴到新项目。转到项目属性并选择Build。我打开和关闭Visual Studio,并在从新项目中删除后构建它,然后从旧项目中复制并选择它。当我复制项目并试图构建它时,我在这篇文章的开头第一次收到了错误。

在Visual Studio 2019和。net 5项目中,这个问题的解决方案是将.pfx文件从我的解决方案中排除,它立即起作用。

在尝试了所有这些解决方案(以及更多)之后,我发现问题出在其他地方。对于那些和我一样在购买证书后经历同样痛苦的人,我将分享我的问题的解决方案。

行为

我理解'sign'对DLL或EXE应用强名称而不是验证码。这就是为什么signtool会在这种情况下工作,但'sign'在Visual studio将不会工作。

原因

在过去,我有使用Verisign证书的经验。他们在证书中有一个KeySpec=2 -这与Visual Studio中的“sign”功能一起使用。这些证书对Visual Studio和signtool都很有效。

我现在从Comodo购买了证书,在代码签名证书中有一个错误的KeySpec=1。这意味着这些证书可以很好地使用signtool (authenticode),但不能使用强命名(sign下拉菜单)。

解决方案

有两种方法可以解决这个问题:

Create a separate certificate for your strong name using sn -k [name].snk. Sign the assembly using the snk and afterwards use signtool with your code signing certificate to do sign the DLL/EXE with the authenticode signature. While this seems strange, from what I understand this is a correct way to deal with certificates, because strong names have a different purpose than authenticode (see also this link for details on how this works). Import your certificate as KeySpec=2. The procedure for this is detailed here.

因为我想使用多个强名称,所以我目前使用option(1),尽管option(2)也可以。


为了确保这个解决方案在未来永远不会丢失,下面是解决方案2的过程:

使用“certificates”MMC将现有的密钥集(KeySpec=1)导出到PFX文件。注意:请将此文件备份到安全的位置,并测试该文件是否可以在另一台机器上导入,如果你真的想要安全的话! 从加密存储中删除现有证书(仍在使用MMC)。 打开CMD提示符。 导入PFX文件: certutil -importPFX -user <pfxfilename> AT_SIGNATURE 当提示时,输入pfx的口令。

现在您应该拥有一个KeySpec=2的密钥集/证书。如果需要,您现在可以再次使用MMC将其导出到另一个PFX文件。

我得到了同样的错误。 在我的情况下,我尝试了以上所有的方法,但我无法得到结果。

我最终意识到,在我的情况下,错误的原因是没有输入证书密码或输入错误。当我动态正确地输入密码时,错误消失了。成功的