Основные сведения о контейнерах ключей RSA уровня компьютера и уровня пользователя
Обновлен: Ноябрь 2007
Класс RsaProtectedConfigurationProvider может использовать контейнеры ключей RSA уровня компьютера или уровня пользователя. В Microsoft Windows контейнеры ключей уровня компьютера доступны всем пользователям, а контейнер ключа уровня пользователя доступен лишь создавшему (или импортировавшему) его пользователю.
Различия между контейнерами ключей RSA уровня компьютера и уровня пользователя
Контейнеры ключей RSA уровня пользователя хранятся вместе с профилем каждого пользователя Windows и могут применяться для шифрования и дешифрования информации в приложениях, запущенных с использованием удостоверения конкретного пользователя. Контейнеры ключей RSA уровня пользователя удобны тем, что они удаляются при удалении соответствующего им профиля пользователя Windows. Тем не менее, контейнеры ключей RSA уровня пользователя не очень удобно использовать, так как для шифрования и дешифрования защищенных разделов конфигурации необходимо войти в систему под учетной записью конкретного пользователя.
Контейнеры ключей RSA уровня компьютера по умолчанию доступны всем пользователям, которые могут войти в систему на компьютере; они наиболее удобны для шифрования и дешифрования защищенных разделов конфигурации при работе под учетной записью администратора. Контейнеры ключей RSA уровня компьютера могут использоваться для защиты информации в отдельном приложении, во всех приложениях на сервере или группе приложений на сервере, которые запускаются с конкретным удостоверением пользователя. Хотя контейнеры ключей RSA уровня компьютера доступны по умолчанию всем пользователям, их можно защитить при помощи списков управления доступом (ACL) NTFS таким образом, что доступ к ним будет иметь лишь уполномоченные на то пользователи.
Примечание. |
---|
Для ограничения доступа к сведениям о ключе шифрования при помощи ACL в файловых системах формата NTFS при помощи защищенной конфигурации рекомендуется защищать только важную информацию. |
При использовании поставщика RsaProtectedConfigurationProvider для защиты разделов конфигурации рекомендуется использовать контейнеры ключей RSA уровня компьютера, поскольку использование контейнеров ключей RSA уровня пользователя малополезно. При создании контейнера ключа RSA для защиты сведений о конфигурации одного или нескольких приложений рекомендуется ограничивать доступ к контейнеру ключа RSA уровня компьютера при помощи средства Aspnet_regiis.exe, в котором параметр -pa используется для открытия доступа конкретному удостоверению, а параметр -pr — для закрытия доступа. Дополнительные сведения об установке или определении удостоверений приложений ASP.NET см. в разделе Олицетворение ASP.NET. Дополнительные сведения о предоставлении доступа на чтение контейнеров ключей RSA см. в разделе Импорт и экспорт защищенных контейнеров ключей RSA для конфигурации.
Идентификация контейнеров ключей RSA уровня компьютера и уровня пользователя для средства Aspnet_regiis.exe
При создании, экспортировании, импортировании или удалении контейнера ключа RSA при помощи средства Aspnet_regiis.exe необходимо указать, является ли он контейнером уровня компьютера или уровня пользователя. Для указания контейнера ключа RSA уровня пользователя используется параметр -pku; в противном случае контейнер ключа RSA будет относиться к уровню компьютера.
См. также
Задачи
Пошаговое руководство. Создание и экспорт контейнера ключа RSA
Другие ресурсы
Шифрование сведений о конфигурации с помощью функции защищенной конфигурации