最近接到一個任務,加密DotNet專案的配置檔案。配置檔案裡需要加密的地方一共有兩塊,一個是資料庫連線字串,一個是自定義的所有AppSettings。
一開始接到這個任務我是拒絕的,因為壓根不知道怎麼加密,印象中的加密方式還停留在MD5。對於啥是對稱加密,啥是非對稱加密完全不認識。
加密方式
因為用的是DotNet所以開啟微軟Doc,希望能找到一點關於DotNet加密的說明文件。
其中.Net安全性介紹了一些關於加密的方法。
最常用的加密方式
- 對稱加密
對稱加密,使用單個金鑰加密和解密資料(通常被用來加密大資料量的東西)。
- 非對稱加密
非對稱加密,分為公鑰和私鑰,利用公鑰加密資料,由私鑰解密。通常情況下用來保護對稱加密的金鑰。(在開發過程中發現,用公鑰加密一個資料庫連線字串都會由於內容過長而報錯)。對於待加密內容比較長的,可以使用分段加密的方式。
數字證書
一開始考慮使用對稱方式加密配置檔案,但是金鑰的存放就是是一個很大的問題,想當然的就打算把金鑰放在配置檔案裡。可是加密的意義何在呢?
所以後來考慮使用非對稱方式加密配置檔案,利用公鑰加密檔案,然後利用私鑰解密。
存放公鑰和私鑰的最好工具是數字證書。
通常情況下,數字證書分為兩種,一種只有公鑰,一種則是有公鑰也有私鑰。
生成證書
證書其實需要由第三方CA機構來生成的,當然也可以自己生成。
Windows平臺下微軟提供了兩種生成方式:
- 利用微軟提供的MakeCert.exe可以生成證書。該工具包含在Windows SDK中(注意對應版本)。MakeCert文件
- 利用PowerShell也是一種不錯的選擇。PowerShell文件
數字證書的儲存
看了網上的很多部落格,大部分是直接載入本地實體檔案,比較高階的是把證書匯入到計算機的儲存區。
證書儲存有兩種型別:
- 本地使用者
- MY
- Root
- Trust
- CA
- UserDS
- 當前使用者
- MY
- Root
- Trust
- CA
- UserDS
本地使用者除了MY以外應該都可以被當前使用者繼承
匯入證書
//匯入檔案方法
private static bool ImportPfxFile(string filePath, string password = null)
{
//證書安裝到本地儲存,根節點
X509Store store = new X509Store(StoreName.TrustedPeople, StoreLocation.LocalMachine);
try
{
X509Certificate2 certificate = new X509Certificate2(filePath, password == null ? "" : password, X509KeyStorageFlags.MachineKeySet);
store.Open(OpenFlags.ReadWrite);
store.Remove(certificate); //可省略
store.Add(certificate);
//File.Delete(filePath);
return true;
}
catch (System.Exception e)
{
MessageBox.Show(e.Message);
return false;
}
finally
{
store.Close();
}
}注意
-
匯入證書的時候注意證書儲存標誌X509KeyStorageFlags,一般情況下不推薦設定為可匯出Exportable,所以利用私鑰解密的時候,注意私鑰的使用方式。
-
對於證書密碼,如果沒有直接給null就可以了。
關於給IIS授權的問題
執行環境是IIS,經測試發現直接執行網站是沒有許可權獲取證書的,需要給IIS使用者授權才可以。
這個IIS使用者給我折騰死了。本來以為給 ASP.NET 授權就可以了,沒想到不是的。經過一頓搜尋終於明白了,需要授權的是對應程式池的名稱。
| 名稱 | 狀態 | .NET CLR 版本 | 託管管道模式 | 標識 | 應用程式 |
|---|---|---|---|---|---|
| .NET v2.0 | 已啟動 | v2.0 | 整合 | ApplicationPoolIdentity | 0 |
| DefaultAppPool | 已啟動 | v4.0 | 整合 | ApplicationPoolIdentity | 4 |
比如網站的程式池是DefaultAppPool,就需要給DefaultAppPool使用者授權。
授權方式一
第一種方式比較簡單,利用MMC。
- 命令列開啟MMC
- 新增證書節點
- 將其他區的證書託動到個人
- 右鍵證書==》所有任務==》管理私鑰==》新增對應使用者即可
- 將證書託回到原來分割槽
授權方式二
第二種方式需要用到兩個工具appcmd.exe和winhttpcertcfg.exe。
appcmd.exe是一個IIS命令列工具,詳細文件
appcmd.exe一般會存放在C:WindowsSystem32inetsrvappcmd.exe
這裡的使用方式很簡單即通過命令獲得IIS所有程式池資訊,執行以下命令
C:WindowsSystem32inetsrvappcmd.exe list apppool
//得到如下結果
APPPOOL "DefaultAppPool" (MgdVersion:v4.0,MgdMode:Integrated,state:Started)
APPPOOL "Classic .NET AppPool" (MgdVersion:v2.0,MgdMode:Classic,state:Started)
APPPOOL ".NET v2.0 Classic" (MgdVersion:v2.0,MgdMode:Classic,state:Started)
APPPOOL ".NET v2.0" (MgdVersion:v2.0,MgdMode:Integrated,state:Started)
APPPOOL ".NET v4.5 Classic" (MgdVersion:v4.0,MgdMode:Classic,state:Started)
APPPOOL ".NET v4.5" (MgdVersion:v4.0,MgdMode:Integrated,state:Started)
.Net 執行此命令
private Dictionary<string, object> MyCommand(string fileName, string argument)
{
try
{
ProcessStartInfo startInfo = new ProcessStartInfo(fileName)
{
CreateNoWindow = true,
UseShellExecute = false,
RedirectStandardError = true,
RedirectStandardOutput = true,
Arguments = argument
};
//建立一個程式
Process pc = new Process();
pc.StartInfo = startInfo;
//啟動程式
pc.Start();
//準備讀出輸出流和錯誤流
List<string> listOutPut = new List<string>();
List<string> listError = new List<string>();
pc.BeginOutputReadLine();
pc.BeginErrorReadLine();
pc.OutputDataReceived += (ss, ee) =>
{
listOutPut.Add(ee.Data);
};
pc.ErrorDataReceived += (ss, ee) =>
{
listError.Add(ee.Data);
};
//等待退出
pc.WaitForExit();
//關閉程式
pc.Close();
Dictionary<string, object> dic = new Dictionary<string, object>();
dic.Add("outPut", listOutPut);
dic.Add("error", listError);
return dic;
}
catch (Exception e)
{
throw e;
}
}
通過解析listOutPut可以得到程式池名稱。
接下來需要用到證書配置工具winhttpcertcfg.exe 詳細文件
利用如下命令即可完成授權
winhttpcertcfg -g -c LOCAL_MACHINEMy -s MyCertificate -a TESTUSER
//LOCAL_MACHINEMy:使用者儲存區
//MyCertificate:證書名
//TESTUSER:授權使用者名稱,即listOutPut得到的程式池名稱
注意
如果利用appcmd得到程式池名稱後執行授權命令,報如下錯
Error: No account information was found.
這說明程式池並非活躍狀態,訪問一下對應網站即可。