了解電腦層級和使用者層級的 RSA 金鑰容器
更新:2007 年 11 月
RsaProtectedConfigurationProvider 類別可使用電腦層級或者使用者層級的 RSA 金鑰容器。Microsoft Windows 會讓所有使用者都可使用電腦層級的金鑰容器,而只有建立 (或匯入) 金鑰容器的使用者可以使用使用者層級的金鑰容器。
比較電腦層級和使用者層級的 RSA 金鑰容器
使用者層級的 RSA 金鑰容器是與特定使用者的 Windows 使用者設定檔一起儲存,可用於加密和解密在該特定使用者識別 (Identity) 下執行之應用程式的資訊。如果您要確保在移除 Windows 使用者設定檔時也會移除 RSA 金鑰資訊,則使用者層級的 RSA 金鑰容器將十分有用。然而,因為您必須使用特定使用者帳戶登入,而該帳戶將利用使用者層級的 RSA 金鑰容器以加密或解密受保護的組態區段,所以它們使用起來不太方便。
根據預設,可以登入電腦的所有使用者都可以使用電腦層級的 RSA 金鑰容器,而這些金鑰容器在您以系統管理員帳戶登入時,用來加密或解密受保護之組態區段而言是最有幫助的。電腦層級的 RSA 金鑰容器可用於保護單一應用程式的資訊、伺服器上所有應用程式的資訊,或在同一使用者識別下執行之伺服器上應用程式群組的資訊。儘管所有使用者都可利用電腦層級的 RSA 金鑰容器,但是可以使用 NTFS 存取控制清單 (ACL) 保護它們,以便只有必要的使用者才能進行存取。
.gif "注意事項") 注意事項: |
|---|
建議僅在使用 NTFS 格式化的檔案系統上,使用受保護的組態來保護敏感資訊,這樣您就可以使用 ACL 限制對加密金鑰資訊的存取。 |
由於利用使用者層級的 RSA 金鑰容器只有些許好處,因此建議您在使用 RsaProtectedConfigurationProvider 提供者 (Provider) 保護組態區段時,使用電腦層級的 RSA 金鑰容器。建立 RSA 金鑰容器以保護一個或多個應用程式的組態資訊時,建議您使用 Aspnet_regiis.exe 工具限制對電腦層級 RSA 金鑰容器的存取,利用 -pa 選項,將存取權限加入至特定識別的金鑰,並利用 -pr 選項,移除金鑰的存取權限。如需如何設定或決定 ASP.NET 應用程式之識別的詳細資訊,請參閱 ASP.NET 模擬。如需授與 RSA 金鑰容器之讀取權限的詳細資訊,請參閱匯入和匯出受保護的組態 RSA 金鑰容器。
識別 Aspnet_regiis.exe 工具之電腦層級和使用者層級的 RSA 金鑰容器
當使用 Aspnet_regiis.exe 工具建立、匯出、匯入或刪除 RSA 金鑰容器時,您必須指定 RSA 金鑰容器是電腦層級的金鑰容器還是使用者層級的金鑰容器。使用 -pku 選項,可將 RSA 金鑰容器識別為使用者層級的金鑰容器,否則會將 RSA 金鑰容器視為電腦層級的容器。