在asp.net2.0中新增了對(duì)web.config中的部分?jǐn)?shù)據(jù)進(jìn)行加密的功能，可以使用RSAProtectedConfigurationProvider和DPAPIProtectedConfigurationProvider來(lái)加密，本文說(shuō)明使用RSAProtectedConfigurationProvidert和計(jì)算機(jī)級(jí)別的密鑰容器進(jìn)行加密的步驟。
1. 首先確定要進(jìn)行加密的web.config中的配置節(jié)是否可以加密
2. 創(chuàng)建RSA密鑰容器
3. 在web.config中標(biāo)識(shí)要使用的密鑰容器
4. 對(duì)web.config進(jìn)行加密
5. 授予對(duì) RSA 密鑰容器的訪(fǎng)問(wèn)權(quán)限
Step 1:首先確定要進(jìn)行加密的web.config中的配置節(jié)是否可以加密
ASP.NET 2.0支持對(duì)Web.config的部分配置節(jié)進(jìn)行加密，以下配置節(jié)中的數(shù)據(jù)是不能進(jìn)行加密的：

Step２:創(chuàng)建 RSA 密鑰容器
若要?jiǎng)?chuàng)建 RSA 密鑰容器，請(qǐng)使用 ASP.NET IIS 注冊(cè)工具 (Aspnet_regiis.exe) 及 –pc 開(kāi)關(guān)。必須為密鑰容器指定一個(gè)名稱(chēng)，該名稱(chēng)標(biāo)識(shí)應(yīng)用程序的 Web.config 文件的 configProtectedData 節(jié)中指定的 RsaProtectedConfigurationProvider 所使用的密鑰容器。為確?？梢詫?dǎo)出新創(chuàng)建的 RSA 密鑰容器，必須包括 -exp 選項(xiàng)。
例如，下面的命令創(chuàng)建一個(gè)名為 ABeenKeys 的 RSA 密鑰容器，該容器是可導(dǎo)出的計(jì)算機(jī)級(jí)密鑰容器。
aspnet_regiis -pc "ABeenKeys"–exp
Step 3: Modify web.config to identify the key container
編輯Web.config文件以標(biāo)識(shí)要使用的密鑰容器
在web.config中加以<configProtectedData>來(lái)配置密鑰容器, 使用名為 ABeenKeys 的計(jì)算機(jī)級(jí) RSA 密鑰容器的
在<configuration>中加入xmlns屬性
<configuration xmlns="http://schemas.microsoft.com/.NetConfiguration/v2.0">
使用名為 ABeenKeys 的計(jì)算機(jī)級(jí) RSA 密鑰容器的 saProtectedConfigurationProvider。

Step 4: Encrypt the <connectionStrings> section of your web.config file
加密你的web.config文件中的配置節(jié)
> aspnet_regiis -pe "connectionStrings" -app "/connectionTest"　
Step 5:授予對(duì) RSA 密鑰容器的訪(fǎng)問(wèn)權(quán)限
可以通過(guò)以下代碼確定應(yīng)該給哪個(gè)用戶(hù)權(quán)限
Response.Write(System.Security.Principal.WindowsIdentity.GetCurrent().Name);
默認(rèn)情況下，RSA 密鑰容器受到所在服務(wù)器上的 NTFS 訪(fǎng)問(wèn)控制列表 (ACL) 的嚴(yán)密保護(hù)。這樣能夠限制可以訪(fǎng)問(wèn)加密密鑰的人員，從而增強(qiáng)加密信息的安全性。必須首先向 ASP.NET 應(yīng)用程序的進(jìn)程標(biāo)識(shí)授予對(duì)該 RSA 密鑰容器的讀取訪(fǎng)問(wèn)權(quán)限，然后 ASP.NET 才能使用 RSA 密鑰容器。可以使用 Aspnet_regiis.exe 工具及 -pa 開(kāi)關(guān)，向 ASP.NET 應(yīng)用程序的標(biāo)識(shí)授予讀取 RSA 密鑰容器的權(quán)限。例如，下面的命令向 Windows Server 2003 NETWORK SERVICE 帳戶(hù)授予對(duì)名為 ABeenKeys 的計(jì)算機(jī)級(jí) RSA 密鑰容器的讀取訪(fǎng)問(wèn)權(quán)限：
aspnet_regiis -pa "ABeenKeys" "NT AUTHORITY\NETWORK SERVICE"
注意:
如果 RSA 密鑰容器是用戶(hù)級(jí)容器，必須以其 Windows 配置文件存儲(chǔ)了密鑰的用戶(hù)的身份登錄，并且必須包括 -pku 選項(xiàng)以授予對(duì)該用戶(hù)級(jí) RSA 密鑰容器的訪(fǎng)問(wèn)權(quán)限。
若要使用計(jì)算機(jī)配置中指定的默認(rèn) RsaProtectedConfigurationProvider，必須首先向應(yīng)用程序的 Windows 標(biāo)識(shí)授予對(duì)名為 NetFrameworkConfigurationKey 的計(jì)算機(jī)密鑰容器的訪(fǎng)問(wèn)權(quán)限，該計(jì)算機(jī)密鑰容器是為該默認(rèn)提供程序指定的密鑰容器。例如，下面的命令向 NETWORK SERVICE 帳戶(hù)授予對(duì)默認(rèn) RsaProtectedConfigurationProvider 所使用的 RSA 密鑰容器的訪(fǎng)問(wèn)權(quán)限。
aspnet_regiis -pa "NetFrameworkConfigurationKey" "NT AUTHORITY\NETWORK SERVICE"
NetFrameworkConfigurationKey RSA 密鑰容器是 Aspnet_regiis.exe 工具所發(fā)出的命令的默認(rèn)密鑰容器。因此上述命令也可以按以下方式發(fā)出：
aspnet_regiis -pa "NT AUTHORITY\NETWORK SERVICE"

最新評(píng)論