こんにちは、ユーザーが重要な情報を Web サイトに保存できるシステムに取り組んでいます。Ws2012 と IIS8 の使用
EFSを使用して、通常のファイルのデータを暗号化しています。サーバーの管理者から保護する必要があります。(少なくとも情報を取得することを困難にします) ファイルは飛行中に暗号化/復号化する必要があります。
それは実際にうまく機能しています。フォルダを EFS として設定するだけで、IIS によって保存されたファイルは暗号化され、管理者はコンテンツを取得できません。ここまでは順調ですね。
問題: しかし、IIS を再インストールするか、サーバーを再構築/再インストールする必要がある場合、証明書が異なるため、「新しい」IIS ではファイルを使用できません。通常、ユーザーとしてログインして EFS 証明書をバックアップできますが、IIS でこれを行うにはどうすればよいですか。
アイデアは、証明書をエクスポートして安全に保つための管理者 (非常に信頼できる) を 1 人だけ持つことです。したがって、すべての「通常の」管理者はそれにアクセスできません。そのため、サーバーの再構築後に証明書を再インストールすると、新しい IIS がファイルに再びアクセスできるようになります。
証明書を取得するいくつかの方法を見てきましたが、すべての説明/例では、IIS が使用するような「サービス」ユーザーではなく、ローカルにログインしているユーザーを使用しています。
2 つの方法があります。1 つは、サイトの作成時に、IIS が使用する証明書をインストールする方法です。この方法ではエクスポートは必須ではなく、すべてのサイトが同じ証明書を使用します。しかし、どのように?
2 番目の方法は、IIS が使用する証明書をエクスポートすることですが、どのように?
うまくいけば、これは簡単な作業ですが、見つかりません。
よろしくジェスパー