データベースに保存する前にデータを暗号化したい。データへのアクセスは、アプリケーションによって制御されます。したがって、管理者の役割を持つ人は誰でもデータを見ることができるはずです。データの暗号化/復号化に使用される暗号化キーを保護できるようにしたいと考えています。サーバーは複数のアプリをホストしているため、DPAPI マシン キーを使用したくありません。
サービス アカウントを作成し、そのアカウントのログオン資格情報を使用して web.config ファイル内のキーを暗号化できるかどうか疑問に思っていました。
ありがとう
わかりました、答えは、スタックに応じて、はいまたはいいえです..
IIS 7 でホストされている場合は、専用のアプリ プールを使用して新しい LoadUserProfile 機能を使用できるはずです。これにより、DPAPI がユーザー ストアを利用できるようになります。
IIS 6 にはその機能がないため、厳密な答えはノーですが、Microsoft は同様の最終結果を得る方法の良い例を提供しています。Windowsサービスコントロールマネージャーがユーザープロファイルをロードするときに、サービスを使用して暗号化/復号化を実行します(したがって、DPAPIが機能します)
そのかなりの長さの読み取りですが、トリックを行う必要があります: