在我目前的项目中,我正在开发一个SAML实现,其中“有效负载”已加密。
身份提供者正在获得我们的公钥,然后我们使用您的私钥进行解密。
我的问题是我应该如何保护服务器上的私钥。
面向公众的网站设置在DMZ中,Web服务位于物理上不同的服务器上的防火墙后面。通过WCF完成通信。
我想利用单独的服务器,这样我就不必将.pfx文件放在可以访问它的Web服务器上。但是,我只是将.pfx文件放在Web服务文件系统上感觉不舒服。
从“证书存储区”访问私钥更有意义吗?有没有办法将pfx文件的内容嵌入到我的应用程序的二进制文件中?
感谢任何输入!
答案 0 :(得分:0)
我绝不是一位安全专家,所以我带着一点点的话说。但是你能用对称算法加密你的pfx文件,比如XXTEA或blowfish吗?然后在需要之前解密它?这将提供合理的安全性,并允许您将其放在Web服务器文件系统上。这只是一个想法,我敢肯定有更多知识的人能够给你一个更好的答案。