我有一个通常使用本地系统帐户运行的 Windows 服务(尽管在某些安装中它可能作为特定的用户帐户)。
该服务使用 WCF,并使用 X509 证书保护通信。
我的问题是,存储证书(和私钥)的最佳位置在哪里?
如果使用证书存储是最好的方法,我应该使用哪一种来确保只有管理员和服务可以访问私钥?
或者,一个简单的选择是将两者都存储为磁盘上的 PFX 文件,并使用 ACL 确保只有管理员和服务可以访问它。与使用证书存储相比,这种方法的优缺点是什么?
编辑 澄清一下,我将 C# 与 .NET Framework 3.5 一起使用
【问题讨论】:
标签: c# windows cryptography certificate x509
首先,我建议您将证书保存在证书存储中,并将私钥保存为不可导出。现在有一些争论。
有多种方法可以在机器上保存私人机密或其他私人信息。最古老的方式是LsaStorePrivateData 和LsaRetrievePrivateData API(参见http://msdn.microsoft.com/en-us/library/ms721818%28VS.85%29.aspx)。它对秘密的数量有限制,但所有秘密都可以分为本地、全局和机器。
下一个方法是使用 DPAPI(参见 http://msdn.microsoft.com/en-us/library/ms995355.aspx):在我们的例子中是 CryptProtectData 和 CryptUnprotectData。
我添加了对这两种方式的引用,因为您想比较不同的可能方式,以确保您的方式最适合您的任务。
我认为您应该问的最重要的问题是:保护我的私钥的最佳方法是什么?我认为您应该选择保护您的密钥被复制的方式。所以我建议你使用证书存储。在证书存储中,您可以持有标记为 non exportable 的私钥。这是我认为的主要优势。您可以通过不同的方式部署具有相应私钥的证书。请确保保存在机器上的私钥未标记为可导出。
使用磁盘上的 PFX 文件不会给您带来这种优势。此外,您的 PFX 未加密或您收到问题您应该将密码保存到 PFX 文件的位置。所以你必须使用DPAPI(CryptProtectData和CryptUnprotectData)或LSA API(LsaStorePrivateData和LsaRetrievePrivateData)并且可以导出密码。
【讨论】: