Descripción de los contenedores de claves RSA en el nivel de equipo y de usuario
Actualización: noviembre 2007
La clase RsaProtectedConfigurationProvider puede utilizar contenedores de claves RSA en el nivel de equipo o de usuario. Microsoft Windows hace que los contenedores de claves en el nivel de equipo estén disponibles para todos los usuarios, mientras que un contenedor de claves en el nivel de usuario sólo está disponible para el usuario que creó o importó el contenedor de claves.
Comparación de contenedores de claves RSA en el nivel de equipo y de usuario
Los contenedores de claves RSA en el nivel de usuario se almacenan con el perfil de usuario de Windows para un usuario en particular y se puede utilizar para cifrar y descifrar información para aplicaciones que se ejecutan bajo la identidad de ese usuario específico. Los contenedores de claves RSA en el nivel de usuario pueden ser de gran utilidad si desea asegurarse de que se quita la información de claves RSA al quitar el perfil de usuario en Windows. Sin embargo, su utilización no es práctica porque debe haber iniciado la sesión con la cuenta de usuario específico que utilizará el contenedor de claves RSA en el nivel de usuario para cifrar y descifrar secciones de configuración protegidas.
Los contenedores de claves RSA en el nivel de equipo están disponibles para todos los usuarios que puedan iniciar sesión en un equipo, de manera predeterminada, y son los más útiles para cifrar o descifrar secciones de configuración protegidas mientras se inicia sesión con una cuenta de administrador. Un contenedor de claves RSA en el nivel de equipo puede utilizarse para proteger información para una sola aplicación, todas las aplicaciones de un servidor o un grupo de aplicaciones de un servidor que se ejecutan bajo la misma identidad de usuario. A pesar de que los contenedores de claves RSA en el nivel de equipo están disponibles para todos los usuarios, pueden protegerse con las listas de control de acceso (ACL) de NTFS de modo que solo los usuarios requeridos puedan tener acceso.
Nota: |
---|
Se recomienda que sólo proteja la información confidencial usando configuración protegida en sistemas de archivos a los que se ha dado formato mediante NTFS, de modo que pueda restringir el acceso a la información de cifrado de claves usando listas de control de acceso. |
Puesto usar contenedores de claves RSA en el nivel de usuario ofrece escasas ventajas, se recomienda usar contenedores de claves RSA en el nivel de equipo para proteger las secciones de configuración usando el proveedor RsaProtectedConfigurationProvider. Cuando se crea un contenedor de claves RSA para proteger información de configuración de una o más aplicaciones, se recomienda restringir el acceso al contenedor de claves RSA en el nivel de equipo usando la herramienta Aspnet_regiis.exe, con la opción -pa para ofrecer acceso a la clave para una identidad determinada y la opción -pr para quitar el acceso a la clave. Para obtener más información sobre cómo establecer o determinar la identidad de una aplicación ASP.NET, vea Suplantación de ASP.NET. Para obtener más información sobre la concesión del acceso de lectura a un contenedor de claves RSA, vea Importar y exportar contenedores de claves RSA con configuración protegida.
Identificación de contenedores de claves RSA en el nivel de equipo o de usuario para la herramienta Aspnet_regiis.exe
Durante la creación, exportación, importación o eliminación de un contenedor de claves RSA mediante la herramienta Aspnet_regiis.exe, se debe especificar si el contenedor de claves RSA es en el nivel de equipo o de usuario. Identifique un contenedor de claves RSA como un contenedor de claves en nivel de usuario con la opción -pku; de lo contrario, se considerará un contenedor en nivel de equipo.
Vea también
Tareas
Tutorial: Crear y exportar un contenedor de claves RSA
Otros recursos
Cifrar información de configuración mediante una configuración protegida