AspNetコアでメモリリポジトリを使用して、IISで実行中のデータ保護

Question

AspNet Mvc Core RC1 Webサイトでプロダクションサーバ（Windows Server 2012）を実行しています。

私は、ログに次のように見ている：

Neither user profile nor HKLM registry available. Using an ephemeral key repository. Protected data will be unavailable when application exits. 

DataProtectionのソースコードを検査した後、私は次のメソッド呼び出しに問題を追跡：

Environment.GetFolderPath(Environment.SpecialFolder.LocalApplicationData) 

これはおそらく戻っています何らかの理由でサーバ上でnullが発生する。私はその場所に特別なカスタム設定を持っていないし、docsを読んだので、デフォルトが動作すると思った。

問題はIIS Webサイトが特定のユーザーのコンテキストで実行されていないと考えられますが、これを確認または修正する方法はわかりません。私のウェブサイトは独自のプールで構成されています。

脇に：キーを格納するメモリリポジトリを実行した結果、アプリケーションが非常に煩わしく、本番環境での使用を目的としないアプリケーションを終了するたびにリサイクルされます。

Answer 1

ユーザープロファイルはIIS構成で読み込む必要があります。

IISを開き、[アプリケーションプール]、[詳細設定]を右クリックします。そして、 "Load user profile"をtrueに設定します。アプリを再起動すると完全に動作するはずです。

Answer 2

ASP.NETアプリケーションで使用されるデータ保護キーは、アプリケーション外部のレジストリハイブに格納されます。 AppPool IDとしてアプリケーションを実行する場合、のレジストリハイブを作成する必要があります。は、ASP.NET Coreアプリケーションで使用されます。

スタンドアロンIISインストールの場合は、ASP.NETコアアプリケーションで使用する各アプリケーションプールにData Protection PowerShell scriptを使用できます。キーはレジストリに保持されます。

Data Protectionが検索するレジストリー・ハイブが存在しないため、ログに明記されているように、鍵はディスクに永続化されません。代わりに、それらは一過性になり、メモリ内でのみ生きるでしょう。

Webファームシナリオでは、UNCパスを使用してデータ保護キーリングを格納するようにアプリケーションを構成できます。デフォルトでは、データ保護キーは暗号化されていません。各マシンにx509証明書を展開して、キーリングを暗号化することができます。

は、より多くの情報

Answer 3

ためofficial ASP.NET Core docsは要するにthis from the DataProtection Git repository

を見てみましょう参照してください、DataProtectionキーの正しいレジストリ設定を防ぐ修正されない場合がありIISでのバグがあります。 powershell scriptが正しくレジストリを手動でセットアップして、AspNetコアで動作するようにします。 AspNetコアアプリケーション用に使用する各アプリケーションプールのスクリプトを実行すると、それらのアプリケーションは意図したとおりに動作します。