ServiceFabric Секреты, зашифрованные с помощью сертификата внутри X509FindValueSecondary

Question

У меня есть зашифрованный секретный ключ приложения .

В моем ApplicationManifest я указал соответствующий сертификат для расшифровки секрета:

<Certificates>
    <SecretsCertificate Name="MyCert" X509FindValue="1..." X509FindValueSecondary="2..." />
</Certificates>

Мой секрет фактически зашифрован сертификатом 2..., который я указал в X509FindValueSecondary. Я думал, что когда он не найдет сертификат X509FindValue, в моем случае 1... он вернется к поиску сертификата в X509FindValueSecondary. Это то, что я думал, «вторичный» означает. Однако мое приложение не запускается:

Failed to configure certificate permissions. Error FABRIC_E_CERTIFICATE_NOT_FOUND. 

В чем разница между X509FindValue и X509FindValueSecondary?

Answer 1

SecretsCertificate использует такое же форматирование для других параметров сертификата, таких как ServerCertificate, ClientCertificate и т. Д.

В чем разница между X509FindValue и X509FindValueSecondary?

Предполагая, что все они работают одинаково, идея X509FindValueSecondary для ServerCertificate должна использоваться в качестве метода ролловера, что означает:

• Загрузите первый сертифицированный, если он действителен, используйте его
• если срок действия первого сертификата истек, попробуйте загрузить второй

В обоих случаях сертификат должен существовать, поскольку он требует проверки сроков действия, если вы планируете иметь только один, вы должны удалить вторичное.