我很好奇,如果有人对此有什么好主意。
我们有很多C#Windows服务。每个应用程序都安装在多台计算机上(2-80处的任何位置,具体取决于应用程序。)
由于网络的安全性设置,我们不能(一致地)对SQL服务器使用Windows身份验证,因此我们的连接字符串和凭据具有实际的用户名和密码。
我们的基础架构人员希望能够在部署软件时执行以下操作:
1)一次编辑配置-为各种数据库连接设置适当的服务器,用户和密码。
2)至少对连接字符串进行加密或肉眼无法识别
3)将配置文件复制到特定软件的所有安装中。这意味着加密不能绑定到特定计算机。
DPAPI可以这样做吗?可以在所有目标上安装一组密钥以允许解密公共配置文件吗?在这种情况下,如何编辑配置?如何防止其他用户以相同方式查看加密的配置?
最佳答案
DPAPI加密使用<machineKey>
作为私钥。
选项1)您可以在每个服务器的machine.config中对此进行更新,并将machineKey
设置为相同。这会对服务器产生广泛影响,例如依赖于MachineKey的不相关应用程序。
选项2)您可以覆盖web.config中的<machineKey>
以缩小范围。
会话和加密的视图状态验证也取决于<machineKey>
,因此,通过在服务器之间使用相同的密钥,会话和视图状态将可以相互读取。对于具有相同服务器和集中式会话存储的Web场,这可能是理想的,但这超出了原始问题的范围。
How To: Configure MachineKey in ASP.NET 2.0