C#中NET环境下WebConfig如何加密-创新互联

这篇文章主要为大家展示了“C#中NET环境下WebConfig如何加密”，内容简而易懂，条理清晰，希望能够帮助大家解决疑惑，下面让小编带领大家一起研究并学习一下“C#中NET环境下WebConfig如何加密”这篇文章吧。

成都创新互联公司服务项目包括龙凤网站建设、龙凤网站制作、龙凤网页制作以及龙凤网络营销策划等。多年来，我们专注于互联网行业，利用自身积累的技术优势、行业经验、深度合作伙伴关系等，向广大中小型企业、政府机构等提供互联网行业的解决方案，龙凤网站推广取得了明显的社会效益与经济效益。目前，我们服务的客户以成都为中心已经辐射到龙凤省份的部分城市，未来相信会继续扩大服务区域并继续获得客户的支持与信任！

在将ASP.NET项目部署到服务器上时，内网环境下Web.Config往往是直接复制过去。对于外网环境，则需要对Web.Config文件进行加密。

.NET环境下一共提供了2种方式的加密功能，分别是DpapiProtectedConfigurationProvider和RsaProtectedConfigurationProvider提供程序。

前者在本机加密Web.Config后，只能在本机进行解密，如果需要将Config文件复制到外部主机，则无法进行解密。后者在本机加密Config文件后，可以到处密钥容器，当把Config文件复制到外部主机后，可对先前导出的文件进行导入功能，导入后既可自动解密。

由于经常需要复制Config文件到外部主机，因此Rsa保护程序更加适用于实际业务场景，本文将详细介绍RsaProtectedConfigurationProvider程序的使用步骤。

1. 使用RsaProvider提供程序，需要首先进入.NET Framework运行环境，可以配置环境变量或使用cd指令。

cd  C:\Windows\Microsoft.NET\Framework\v2.0.50727

2. 接着便可以使用aspnet_regiis.exe创建一个Rsa密钥容器。密钥容器分用户级别和计算机级别两种情况，由于使用用户级别密钥没什么益处，一般使用计算机级别既可。

aspnet_regiis -pc "MyKeys" -exp

3. 创建密钥容器后，还需要设置密钥容器的访问权限，下面的命令授予NETWORK SERVICE 帐户对计算机级别的 “MyKeys” RSA 密钥容器的访问权限。msdn上有一个aspx程序会展示你的asp.net程序的用户标志，不过本人实际执行pa指令后会报错。

aspnet_regiis -pa "MyKeys" "NT AUTHORITY\NETWORK SERVICE"

4. 在Web.Config文件中加上如下配置节点，MyProvider为你的保护程序名称，可随意指定。keyContainerName为前面设置的密钥容器名称，useMachineContainer为true表示使用计算机级别密钥，为false表示使用使用用户级密钥。

这段配置节不要像msdn那样直接放在configure配置节点下面，这样会报错，建议放在你需要加密节点的后面。

 5 .下面的指令将对指定路径下的config文件节点进行加密，如果配置文件中还有session的sql连接字符串，也可以对sessionState节点进行加密。

aspnet_regiis -pef "connectionStrings"  "D:\WebApp"  -prov  "MyProvider"

aspnet_regiis -pef "system.web/sessionState"  "D:\WebApp"  -prov  "MyProvider"

 加密后的connectionStrings节点如下所示，此时仍可访问ASP.NET应用程序。

  
    
      
      
        
          
          
            Rsa Key
          
          
            X3XoBfbo/h9QUeVUV8A1EGMM0NQuBnhfuC/iV1e7CCmGaiRt9ogmICenTK8VAmGfhufPzWFu5UUHSiO/6BIvYPEO5WoWlj3h6/sUQmRj6NsAJOnrnYHEjta4oQb4XajxazWcf3HUeWR0mG4wDCiUfTZaRIRmXkGgfbxewpsKJ5k=
          
        
      
      
        suqFgGjGFaon62YNI2VM5SQymcf4yyAku9fWQuvgClj1bfqixK9kIs9IE0I0m2u4gLbF+y0xPharfcOFJpXHDwHoaCrNQsxsutqiXquX67bYcJeYaMz5ja9ebqAtQvKIiZ/kHGvFIPXSCg5HiW/GGQwaf3FESVEsOaSAJZ3JJk9MlkkwDd6LepgtcCVjLnEK0lOeEFznrngizFFZWAsYjh6UCF5lNxNxf/IBwtznsfiFi2tV1F4sx9HkJEEryf5MEtu1RAA/wqarMvn7dlXhpGconpNPXA1IGlTmaZ/S1bR/FsO39skgHrs+OHsDMbJrI5ZO4TXXbK/DD86GPzu9JXrVKNVImzzW0V8aMc2HcVNClPsMwwgGaH6PNhE0xkjV6YH77XcLdVsKibvnwMlO/4kjGKoNXaSkFBoAEgprzi8=
      
    
  

 如果需要解密，可以执行下面这条指令aspnet_regiis -pdf "connectionStrings" "D:\WebApp"

6. 导出密钥容器，密钥信息将被存储在导出的xml文件中，pri表示将公钥和私钥一起导出。

aspnet_regiis  -px "MyKeys" "D:/MyKeys.xml"  -pri

7.  有了这个xml文件，就相当于有了密钥容器，导出密钥容器后可以对密钥容器进行删除，删除指令如下。

aspnet_regiis  -pz  "MyKeys"

8. 删除密钥容器后，如果前面你没有对Config文件进行解密，那么运行ASP.NET程序将会直接报错。

  在本人实际操作中发现，如果对正在运行的ASP.NET应用程序的Web.Config文件进行加密，加密后立即删除密钥，此时点击运行（不调试）仍可正常访问。这表明Rsa解密操作在内存中执行，只有重新生成解决方案或调试（会执行生成操作）后，访问才会报错。

9. 现在可以将加密后的config文件和导出的MyKeys.xml一起复制到服务器上，此时运行网站将会直接报错，需执行下面的导入指令。

aspnet_regiis -pi "MyKeys"  "D:/MyKeys.xml"

导入后，在本机访问ASP.NET网站会发现仍然报错，提示无法open  Provider。这个坑最终在网上找到解决方法，如下面指令所示，需要为应用程序池设置对密钥容器的访问权限。

aspnet_regiis -pa "MyKeys"  "IIS APPPOOL\MyWeb" -full

自此整个流程已结束，可以将上面这些指令封装成2个批处理程序，一个是密钥制作bat，一个是导入bat，如下所示。

@echo on
cd C:\Windows\Microsoft.NET\Framework\v2.0.50727::设置config地址,config文件要在E:\test下面
set configAddress="E:\test"::创建RSA密钥容器
aspnet_regiis -pc  "MyKeys" -exp

::设置密钥容器访问权限
aspnet_regiis -pa "MyKeys" "NT AUTHORITY\NETWORK SERVICE"::加密
aspnet_regiis -pef "connectionStrings"  "D:\WebApp"  -prov   "MyProvider"aspnet_regiis -pef "system.web/sessionState"  "D:\WebApp"  -prov   "MyProvider"::导出
aspnet_regiis  -px "MyKeys" "D:/MyKeys.xml"  -pri

::删除密钥容器
aspnet_regiis  -pz  "MyKeys" pause

@echo on
cd C:\Windows\Microsoft.NET\Framework\v2.0.50727::删除旧的密钥容器
aspnet_regiis  -pz  "MyKeys" ::导入新的密钥容器
aspnet_regiis -pi "MyKeys"  "D:/MyKeys.xml"::设置应用程序池的访问权限
aspnet_regiis -pa "MyKeys"   "IIS APPPOOL\MyWeb" -full

pause

在写完这2个bat后，我想起前面的解密指令aspnet_regiis -pdf "connectionStrings" "D:\WebApp"，它只需要提供节点名称和路径。也就是说，如果***者能够在被***的服务器上执行cmd指令，那么他就可以对config进行解密。这个问题如有前辈有更好的解决方式，欢迎您指导留言。

如果当初微软编写这个指令解析方法时，加上一个key的参数。那么即使***者能够执行cmd指令，由于不知道key的名称，所以仍然无法对config进行解密。

以上是“C#中NET环境下WebConfig如何加密”这篇文章的所有内容，感谢各位的阅读！相信大家都有了一定的了解，希望分享的内容对大家有所帮助，如果还想学习更多知识，欢迎关注创新互联行业资讯频道！

另外有需要云服务器可以了解下创新互联scvps.cn，海内外云服务器15元起步，三天无理由+7*72小时售后在线，公司持有idc许可证，提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案，具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势，专为企业上云打造定制，能够满足用户丰富、多元化的应用场景需求。

当前标题：C#中NET环境下WebConfig如何加密-创新互联
标题URL：http://bjjierui.cn/article/dcidog.html