最近接到一個任務,加密DotNet項目的配置文件。配置文件里需要加密的地方一共有兩塊,一個是資料庫連接字元串,一個是自定義的所有AppSettings。 一開始接到這個任務我是拒絕的,因為壓根不知道怎麼加密,印象中的加密方式還停留在MD5。對於啥是對稱加密,啥是非對稱加密完全不認識。 加密方式 因為 ...
最近接到一個任務,加密DotNet項目的配置文件。配置文件里需要加密的地方一共有兩塊,一個是資料庫連接字元串,一個是自定義的所有AppSettings。
一開始接到這個任務我是拒絕的,因為壓根不知道怎麼加密,印象中的加密方式還停留在MD5。對於啥是對稱加密,啥是非對稱加密完全不認識。
加密方式
因為用的是DotNet所以打開微軟Doc,希望能找到一點關於DotNet加密的說明文檔。
其中.Net安全性介紹了一些關於加密的方法。
最常用的加密方式
- 對稱加密
對稱加密,使用單個密鑰加密和解密數據(通常被用來加密大數據量的東西)。
- 非對稱加密
非對稱加密,分為公鑰和私鑰,利用公鑰加密數據,由私鑰解密。通常情況下用來保護對稱加密的密鑰。(在開發過程中發現,用公鑰加密一個資料庫連接字元串都會由於內容過長而報錯)。對於待加密內容比較長的,可以使用分段加密的方式。
數字證書
一開始考慮使用對稱方式加密配置文件,但是密鑰的存放就是是一個很大的問題,想當然的就打算把密鑰放在配置文件里。可是加密的意義何在呢?
所以後來考慮使用非對稱方式加密配置文件,利用公鑰加密文件,然後利用私鑰解密。
存放公鑰和私鑰的最好工具是數字證書。
通常情況下,數字證書分為兩種,一種只有公鑰,一種則是有公鑰也有私鑰。
生成證書
證書其實需要由第三方CA機構來生成的,當然也可以自己生成。
Windows平臺下微軟提供了兩種生成方式:
- 利用微軟提供的MakeCert.exe可以生成證書。該工具包含在Windows SDK中(註意對應版本)。MakeCert文檔
- 利用PowerShell也是一種不錯的選擇。PowerShell文檔
數字證書的存儲
看了網上的很多博客,大部分是直接載入本地實體文件,比較高級的是把證書導入到電腦的存儲區。
證書存儲有兩種類型:
- 本地用戶
- MY
- Root
- Trust
- CA
- UserDS
- 當前用戶
- MY
- Root
- Trust
- CA
- UserDS
本地用戶除了MY以外應該都可以被當前用戶繼承
導入證書
//導入文件方法
private static bool ImportPfxFile(string filePath, string password = null)
{
//證書安裝到本地存儲,根節點
X509Store store = new X509Store(StoreName.TrustedPeople, StoreLocation.LocalMachine);
try
{
X509Certificate2 certificate = new X509Certificate2(filePath, password == null ? "" : password, X509KeyStorageFlags.MachineKeySet);
store.Open(OpenFlags.ReadWrite);
store.Remove(certificate); //可省略
store.Add(certificate);
//File.Delete(filePath);
return true;
}
catch (System.Exception e)
{
MessageBox.Show(e.Message);
return false;
}
finally
{
store.Close();
}
}
註意
導入證書的時候註意證書存儲標誌X509KeyStorageFlags,一般情況下不推薦設置為可導出Exportable,所以利用私鑰解密的時候,註意私鑰的使用方式。
對於證書密碼,如果沒有直接給null就可以了。
關於給IIS授權的問題
運行環境是IIS,經測試發現直接運行網站是沒有許可權獲取證書的,需要給IIS用戶授權才可以。
這個IIS用戶給我折騰死了。本來以為給 ASP.NET 授權就可以了,沒想到不是的。經過一頓搜索終於明白了,需要授權的是對應程式池的名稱。
名稱 | 狀態 | .NET CLR 版本 | 托管管道模式 | 標識 | 應用程式 |
---|---|---|---|---|---|
.NET v2.0 | 已啟動 | v2.0 | 集成 | ApplicationPoolIdentity | 0 |
DefaultAppPool | 已啟動 | v4.0 | 集成 | ApplicationPoolIdentity | 4 |
比如網站的程式池是DefaultAppPool,就需要給DefaultAppPool用戶授權。
授權方式一
第一種方式比較簡單,利用MMC。
- 命令行打開MMC
- 添加證書節點
- 將其他區的證書托動到個人
- 右鍵證書==》所有任務==》管理私鑰==》添加對應用戶即可
- 將證書托回到原來分區
授權方式二
第二種方式需要用到兩個工具appcmd.exe和winhttpcertcfg.exe。
appcmd.exe是一個IIS命令行工具,詳細文檔
appcmd.exe一般會存放在C:\Windows\System32\inetsrv\appcmd.exe
這裡的使用方式很簡單即通過命令獲得IIS所有程式池信息,執行以下命令
C:\Windows\System32\inetsrv\appcmd.exe list apppool
//得到如下結果
APPPOOL "DefaultAppPool" (MgdVersion:v4.0,MgdMode:Integrated,state:Started)
APPPOOL "Classic .NET AppPool" (MgdVersion:v2.0,MgdMode:Classic,state:Started)
APPPOOL ".NET v2.0 Classic" (MgdVersion:v2.0,MgdMode:Classic,state:Started)
APPPOOL ".NET v2.0" (MgdVersion:v2.0,MgdMode:Integrated,state:Started)
APPPOOL ".NET v4.5 Classic" (MgdVersion:v4.0,MgdMode:Classic,state:Started)
APPPOOL ".NET v4.5" (MgdVersion:v4.0,MgdMode:Integrated,state:Started)
.Net 執行此命令
private Dictionary<string, object> MyCommand(string fileName, string argument)
{
try
{
ProcessStartInfo startInfo = new ProcessStartInfo(fileName)
{
CreateNoWindow = true,
UseShellExecute = false,
RedirectStandardError = true,
RedirectStandardOutput = true,
Arguments = argument
};
//創建一個進程
Process pc = new Process();
pc.StartInfo = startInfo;
//啟動進程
pc.Start();
//準備讀出輸出流和錯誤流
List<string> listOutPut = new List<string>();
List<string> listError = new List<string>();
pc.BeginOutputReadLine();
pc.BeginErrorReadLine();
pc.OutputDataReceived += (ss, ee) =>
{
listOutPut.Add(ee.Data);
};
pc.ErrorDataReceived += (ss, ee) =>
{
listError.Add(ee.Data);
};
//等待退出
pc.WaitForExit();
//關閉進程
pc.Close();
Dictionary<string, object> dic = new Dictionary<string, object>();
dic.Add("outPut", listOutPut);
dic.Add("error", listError);
return dic;
}
catch (Exception e)
{
throw e;
}
}
通過解析listOutPut可以得到程式池名稱。
接下來需要用到證書配置工具winhttpcertcfg.exe 詳細文檔
利用如下命令即可完成授權
winhttpcertcfg -g -c LOCAL_MACHINE\My -s MyCertificate -a TESTUSER
//LOCAL_MACHINE\My:用戶\存儲區
//MyCertificate:證書名
//TESTUSER:授權用戶名,即listOutPut得到的程式池名稱
註意
如果利用appcmd得到程式池名稱後執行授權命令,報如下錯
Error: No account information was found.
這說明程式池並非活躍狀態,訪問一下對應網站即可。