Rsa
我應該將私鑰 (RSA) 儲存在 Web 應用程序的什麼位置?
我的 Web 應用程序從使用 RSA 密鑰加密的另一台伺服器接收加密數據。我應該將私鑰 (RSA) 儲存在 .NET Web 應用程序 (Windows) 的什麼位置?似乎將其放入應用程序數據文件夾 (app_data) 可能並不理想。對此有“最佳實踐”嗎?
我不確定是否可以將公鑰/私鑰對轉換為另一種格式並可能將其儲存在證書儲存中,但我不確定 RSA 公鑰/私鑰對甚至是“證書”。
如果這是一個 PCI 合規性問題,似乎我什至不允許將它們儲存在同一台伺服器上,但我看不到如何在伺服器上實現解密?
如果您在 AWS 中,並且足夠偏執,您可能想要使用 KMS。Google也有類似的服務。對於非雲環境,您可以使用 HSM 或 KMIP 密鑰伺服器。HSM 和 KMIP 伺服器都可以以高可用性方式建構,亞馬遜提供了在雲中使用 SafeNet HSM 的不錯選擇,該服務稱為 CloudHSM。
我不再是 .Net 專家,但我的理解是它有一些適配器可以透明地插入 PKCS#11 引擎 (HSM),因此您不必為此編寫任何程式碼。但是要讓它工作可能需要很多配置醜陋的工作。
查看 PKI(公鑰基礎設施)。
考慮您的 Web 伺服器是否擴展到 Web 場以實現高可用性或負載平衡。您需要為這些附加伺服器的新密鑰和現有密鑰分配方法。
考慮密鑰是否儲存在 Web 伺服器上並且它會關閉。你有什麼密鑰備份?
PKI 解決方案可以增強您的組織,使其超越單個 Web 應用程序。
如果您正在處理 PCI,那麼您不應該使用自簽名證書。然後也需要保護對證書的訪問。