为什么要使用RSA进行DPAPI web场加密？

Question

我们将使用DPAPI对ASP.NET web配置文件中的连接字符串进行加密。但对于我们的web集群(场)，我对使用RSA或DPAPI感到困惑。下面的MSDN链接清楚地表明，如果我们想要在web场上部署ASP.NET应用程序，我们需要使用RSA provider。

http://msdn.microsoft.com/en-us/library/ms998280.aspx

http://msdn.microsoft.com/en-us/library/ms998283.aspx

但我不明白在我的网络场中的所有机器上使用DPAPI会有什么问题。实际上，我可以在所有服务器上执行相同的操作，并在每台机器上创建一个新的“加密连接字符串”。为什么这不起作用呢？

Answer 1

文章指出，这是可取的，但这不是一种强制要求。如果您的场中有多台计算机，则加密一个文件并多次将其部署到其中要比到每台计算机上“接触”它要容易得多。

Answer 2

它不起作用的原因是，您的网络场中使用的域帐户将登录到多台计算机上。

“要使DPAPI在使用漫游配置文件时正常工作，域用户必须只登录到域中的一台计算机。如果用户想要登录到域中的另一台计算机，则在用户登录到第二台计算机之前，用户必须注销第一台计算机。如果用户同时登录到多台计算机，则DPAPI可能无法正确解密现有的加密数据。”

http://support.microsoft.com/kb/309408#6

我目前正试图以某种方式解决这个问题，并将喜欢一些想法，你是如何解决它！

问候

Answer 3

通过使用RSAProtectedConfigurationProvider，您可以使用custom RSA Key Container对一台机器上的配置进行加密并导出这些密钥。然后，您可以将容器导入到部署应用程序的每个服务器。MSDN