我正在添加对我的Web应用程序中的JWT令牌的支持,并且我有一个X509证书,它需要签署这些令牌。
我拒绝了使用与HTTPS使用相同证书的想法(请参阅我可以使用Web应用程序的私钥证书签名JWT?)。
我认为自己签名的证书应该可以解决问题,实际上,在这种情况下我看不到信任网的任何优势(这并不意味着没有任何东西,我只是想不出任何)。
Web应用程序在Web服务器的农场上运行。我目前的计划是生成一个自签名的证书,并将X509证书放入每台机器上的Windows证书存储中。我们的IT部门正在检查,但他们认为他们可以使用小组政策将其推广到农场中的所有网络服务器。所以这似乎是一个可行的计划。
Windows中的证书存储对我来说很困惑。我认为有两个选择:
1)将其放入IIS应用程序池运行的用户的"我的"商店中。有很多应用程序池,因此证书可能在许多商店中。
2)将其放在LocalMachine商店下,然后授予对IIS用户的特定证书的明确访问。
3)我想不到的其他东西。
这些类型的证书有一个"正确"的位置,如果是的,它在哪里?
签名证书的通常证书是我的存储。我通常将它们放在 localmachine 位置中,但是将它们放在应用程序池身份本身的证书存储中可能更安全。
然后,我将仅读取仅读取此证书的应用程序池(右键单击证书,然后"所有任务">"管理私钥",然后添加您的应用程序池标识并仅给出"读取"权限。<<<<<<<<<<