pfx의 암호 키 파일을 Visual Studio 없이 등록하는 방법
이런 질문이 있군요,
Jenkins에서 Clickonce publish 해본 분 계신가요?
; https://social.msdn.microsoft.com/Forums/ko-KR/5e2e3519-fdf8-4d5f-8137-aafc9a1742bd/jenkins5064049436-clickonce-publish-5464448376-48516?forum=dotnetko
이에 대한 원인은 다음의 글에 연결됩니다.
Visual Studio에서 pfx 파일로 서명한 경우, 암호는 어디에 저장될까?
; https://www.sysnet.pe.kr/2/0/1298
해법도 알아볼까요? 우선, 위의 글에서 비주얼 스튜디오로 프로젝트 속성 창의 "Create Strong Name Key" 대화창을 이용해 pfx 파일 생성과 함께 그것의 키를 입력하는 것을 살펴봤는데요. 그 글에서도 언급했지만, 이때 입력한 키는 다음의 로컬 경로에 각각 파일로 저장이 됩니다.
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys
// Windows 10의 경우
%USERPROFILE%\AppData\Roaming\Microsoft\Crypto\RSA\[로그인 사용자 SID]
테스트를 위해 저 경로에 저장된 암호 키 파일을 삭제하면 이후 비주얼 스튜디오 빌드에서 이런 오류가 발생합니다.
Rebuild started...
1>------ Rebuild All started: Project: WindowsFormsApp1, Configuration: Debug Any CPU ------
1>C:\Program Files (x86)\Microsoft Visual Studio\2019\Enterprise\MSBuild\Current\Bin\Microsoft.Common.CurrentVersion.targets(3241,5): error MSB3325: Cannot import the following key file: test.pfx. The key file may be password protected. To correct this, try to import the certificate again or manually install the certificate to the Strong Name CSP with the following key container name: VS_KEY_DA465D069C34F247
========== Rebuild All: 0 succeeded, 1 failed, 0 skipped ==========
자, 그럼 다시 키 파일을 등록해 볼까요? ^^ 여기서 중요한 것은 위의 메시지에서 출력해 주는 "VS_KEY_DA465D069C34F247" 문자열입니다. 이것을 이용해 다음과 같이 (비주얼 스튜디오 없이)
sn.exe 도구로 직접 등록하는 것이 가능합니다.
C:\WinFormsApp1\WindowsFormsApp1> sn -i test.pfx VS_KEY_DA465D069C34F247
Microsoft (R) .NET Framework Strong Name Utility Version 4.0.30319.0
Copyright (c) Microsoft Corporation. All rights reserved.
Enter the password for the PKCS#12 key file:
Key pair installed into 'VS_KEY_DA465D069C34F247'
이때 명령어 실행 중 암호룰 묻는데, 마찬가지로 비주얼 스튜디오에서 pfx를 생성 시 입력했던 그 암호를 입력하면 됩니다.
그런데, 살짝 문제가 있습니다. sn.exe -i 옵션의 두 번째 인자로 준 "Container name"에 해당하는 문자열(예제에서는 VS_KEY_DA465D069C34F247)을 구하는 방법이 애매합니다. 사실, 위의 내용대로 그냥 키 파일을 삭제 후 빌드를 해보고 그 오류 메시지로부터 얻는 것도 나름 괜찮은 방법에 속합니다. 만약, 그게 싫다고 하면 ^^... 음... 어떤 방법이 있을지 검색을 해보겠습니다.
Enumerating container names of the strong name CSP
; https://stackoverflow.com/questions/16658541/enumerating-container-names-of-the-strong-name-csp
위의 글에 보면 시스템에 등록된 컨테이너를 나열하는 코드를 싣고 있습니다. 해당 코드를 github에 프로젝트로 구성해서 올려놨으니,
KeyPal
; https://github.com/stjeong/DotNetSamples/tree/master/WinConsole/KeyPal
참고하시고, 어쨌든 이를 실행해 보면 아쉽게도 VS_KEY_* 관련 이름들이 한두 개가 아니라서,
C:\temp> KeyPal
35242e064b06c50b2ab4bf5a2ab52e2c_ac8544f3-1ae2-48c6-bc0b-2b8445bc10e8
c668f4c0-c191-4ca5-b5f3-b4461be98899 pk length:160
VS_KEY_CF3818a49CaaF202 pk length:160
VS_KEY_ab465a069C54F243 pk length:160
VS_KEY_9CB3a295586C15C4 pk length:160
5b294908-e905-40e4-84b4-195cb5cb9333 pk length:288
VS_KEY_bF59592b36143EB1 pk length:160
VS_KEY_920B54E5B40C1B44 pk length:160
VS_KEY_3FEbFCF9682a4499 pk length:160
VS_KEY_a9484549382a1935 pk length:160
VS_KEY_1aEB4EBaab66Bb58 pk length:160
214959e6-6acf-4916-8a5b-8b390eea25c0 pk length:288
IIS Express development Certificate Container pk length:288
일일이 한 번씩 대입해보면서 빌드 오류가 발생하지 않을 때까지 체크해야만 합니다. 하지만 딱 봐도 이건 왠지 아닌 것 같습니다. ^^; 그런데,
VS_KEY_* 이름을 생성하는 규칙을 msbuild로부터 추려내 sn.exe의 기능을 수행하는 도구가 공개되어 있습니다.
honzajscz/SnInstallPfx
; https://github.com/honzajscz/SnInstallPfx
따라서 이를 이용하면 다음과 같이 pfx 파일과 비밀번호만 지정하면 됩니다.
C:\temp> sninstallpfx test.pfx 1111111
The key pair has been installed into the strong name CSP key container 'VS_KEY_DA465D069C34F247'.
VS_KEY_DA465D069C34F247
이름 생성 규칙은 "
KeyPal" 소스 코드에도 넣어두었습니다. 따라서 다음과 같이 실행할 수 있습니다.
C:\temp\DotNetSamples\WinConsole\KeyPal\bin\Debug> KeyPal.exe C:\temp\test.pfx
VS_KEY_DA465D069C34F247
[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]