Web アプリケーションに JWT トークンのサポートを追加しています。これらのトークンに署名するために必要な X509 証明書があります。
私は、HTTPs に使用するものと同じ証明書を使用するという考えを拒否しました ( Can I use the Private Key Certificate of Web App to sign JWT? を参照してください)。
自己署名証明書でうまくいくはずだと思いますが、実際、このシナリオでは信頼の網の利点は見られません (何もないという意味ではありません。考えられないだけです)。
Web アプリケーションは、Web サーバーのファームで実行されます。私の現在の計画は、自己署名証明書を生成し、X509 証明書を各マシンの Windows の証明書ストアに入れることです。IT 部門が確認していますが、グループ ポリシーを使用してファーム内のすべての Web サーバーに展開できると考えています。したがって、これは実行可能な計画のように思えます。
Windows の証明書ストアは、かなり混乱しているように見えます。次の 2 つのオプションがあると思います。
1) IIS アプリケーション プールが実行されているユーザーの「マイ」ストアに配置します。多くのアプリ プールがあるため、証明書が多くのストアに存在する可能性があります。
2) LocalMachine ストアの下に配置し、IIS ユーザーに特定の証明書への明示的なアクセスを許可します。
3) 他に思いつかないこと。
これらのタイプの証明書の「正しい」場所はありますか?もしそうなら、それはどこにありますか?