これは、証明書(X509など)の保持に最適な戦略とテクノロジに関する一般的な質問です。証明書をWebアプリケーションとドッカーに安全に保存するenv
開発環境では、自分の.pfxファイルをプロジェクトフォルダに保存しています。 しかし、実際のシナリオでは、これはもちろんラケットゲームではありません。
これらのファイルを安全に保存するにはどうすればよいですか? asp net WEB Apiアプリケーションを実行している多くのドッカーコンテナがあるとします。
これらのアプリケーションは、秘密鍵および/または証明書ファイルを安全に共有する必要があります。
最初に、証明書を安全に保つことについて心配する必要はありませんが、鍵を安全に保つことについて心配する必要があります。
第二に、あなたはPKCS#12/PFX形式の欠点を認識しておく必要があり、私はここでそれらのいくつかを文書化:あなたに自分自身を辞任した場合、安全な秘密鍵を維持する方法についてはhttp://unmitigatedrisk.com/?p=543
をファイルを使用してCryptoAPI管理されたストアにキーを保存し、 "パスワード"が実際にはランダムな文字列ではなく、堅実な暗号キーであることを確認します。
次に、PFXを「keys」という名前のフォルダに移動して、ACLを変更する必要があります。あなたは、所有者が読み書きできるようにし、アプリケーションを実行できるユーザーを読み込めるようにします。
のchownルート:Linuxでは、これは次のようになり ます。icacls "C:\キー" /許可ルート:(OI)(CI)F/Windowsの中の鍵とchmod 640
は、それは次のようになりますT icacls "c:\ keys"/grant app:(OI)(CI)R/T
理想的には、キーにアクセスするコードの部分は、独自のユーザーとして実行されます。
これは、「そのカメのすべての方法を下に」との答えが大きくされ、あなたが「パスワード」を保護する方法の疑問を残したがHashicorp Vaultのを見てみましょう。あなたはそこにPFXを保存することができます(おそらくそうするべきです)。
可能性のある重複した[私がドッキングウィンドウの画像内のCAのルート証明書を追加するにはどうすればよいです?](https://stackoverflow.com/questions/42292444/how-do-i-add-a-ca-root-certificate-ドッカー画像内) –