コンピュータ レベルの RSA キー コンテナおよびユーザー レベルの RSA キー コンテナについて
更新 : 2007 年 11 月
RsaProtectedConfigurationProvider クラスは、コンピュータ レベルの RSA キー コンテナとユーザー レベルの RSA キー コンテナのいずれかを使用できます。Microsoft Windows では、コンピュータ レベルのキー コンテナがすべてのユーザーで使用できるのに対し、ユーザー レベルのキー コンテナはそのキー コンテナを作成 (またはインポート) したユーザーのみが使用できます。
コンピュータ レベルの RSA キー コンテナとユーザー レベルの RSA キー コンテナの比較
ユーザー レベルの RSA キー コンテナは、特定のユーザー用の Windows ユーザー プロファイルに格納され、特定のユーザー ID で実行されるアプリケーションの情報を暗号化および復号化するのに使用できます。ユーザー レベルの RSA キー コンテナは、Windows ユーザー プロファイルを削除したときに RSA キー情報が確実に削除されるようにする場合に役立ちます。ただし、保護された構成セクションの暗号化や復号化を行うためにユーザー レベルの RSA キー コンテナを利用する、特定のユーザー アカウントでログインする必要があるため、使い勝手はよくありません。
コンピュータ レベルの RSA キー コンテナは既定で、コンピュータにログインできるすべてのユーザーが使用できます。また、保護された構成セクションの暗号化や復号化に使用できるため、管理者アカウントでログインしているときに最も役立ちます。コンピュータ レベルの RSA キー コンテナを使用すると、単一のアプリケーション、サーバー上のすべてのアプリケーション、または同じユーザー ID で実行されるサーバー上のアプリケーション グループに関する情報を保護できます。コンピュータ レベルの RSA キー コンテナはすべてのユーザーが使用できますが、指定したユーザーだけがそれにアクセスできるように、NTFS アクセス制御リスト (ACL: Access Control List) を使用して保護できます。
.gif "メモ") メモ : |
|---|
NTFS を使用してフォーマットされたファイル システム上で機密情報を、保護された構成のみでセキュリティ保護している場合は、ACL を使用して暗号キー情報へのアクセスを制限することをお勧めします。 |
ユーザー レベルの RSA キー コンテナを使用する利点は少ないため、RsaProtectedConfigurationProvider プロバイダを使用して構成セクションを保護する場合は、コンピュータ レベルの RSA キー コンテナを使用することをお勧めします。RSA キー コンテナを作成して 1 つ以上のアプリケーションの構成情報を保護する場合は、特定の ID のキーへのアクセスを追加する -pa オプションおよびキーへのアクセスを削除する -pr オプションを持つ Aspnet_regiis.exe ツールを使用して、コンピュータ レベルの RSA キー コンテナへのアクセスを制限することをお勧めします。ASP.NET アプリケーションの ID を設定または確認する方法の詳細については、「ASP.NET の偽装」を参照してください。RSA キー コンテナに対する読み取りアクセス権を付与する方法の詳細については、「保護された構成 RSA キー コンテナのインポートとエクスポート」を参照してください。
Aspnet_regiis.exe ツール用のコンピュータ レベルの RSA キー コンテナおよびユーザー レベルの RSA キー コンテナの識別
Aspnet_regiis.exe ツールを使用して RSA キー コンテナの作成、エクスポート、インポート、または削除を行う場合は、その RSA キー コンテナを、コンピュータ レベルのキー コンテナとユーザー レベルのキー コンテナのいずれかに指定する必要があります。RSA キー コンテナをユーザー レベルのキー コンテナとして指定する場合は -pku オプションを使用します。それ以外の場合は、コンピュータ レベルのキー コンテナと見なされます。
参照
処理手順
チュートリアル : RSA キー コンテナの作成とエクスポート