對web.config加密，和解密碼詳細說明

能夠使用受保護配置來加密 Web 應用程序配置文件（如 Web.config 文件）中的敏感信息（包括用戶名和密碼、數據庫鏈接字符串和加密密鑰）。對配置信息進行加密後，即便攻擊者獲取了對配置文件的訪問，也能夠使攻擊者難以獲取對敏感信息的訪問，從而改進應用程序的安全性。 針對asp.net 2.0的應用程序的數據庫連接字符串進行加密：例如，未加密的配置文件中可能包含一個指定用於鏈接到數據庫的鏈接字符串的節，以下面的示例所示： <configuration> <connectionStrings>
<add name="SampleSqlServer" connectionString="Data Source=localhost;Integrated Security=SSPI;Initial Catalog=Northwind;" />
</connectionStrings>
</configuration>
ASP.NET 2.0 中有一個新的安全特性.能夠對 Web.config 文件中的任何配置節進行加密處理，能夠經過手工運行工具aspnet_regiis或者編程來完成這個工做。若是你能夠直接訪問你的Web 服務器，你能夠經過運行以下的命令行： cd %windows%/Microsoft.NET/Framework/versionNumber aspnet_regiis -pe "connectionStrings" -app "/SampleApplication" –prov RsaProtectedConfigurationProvider -pd section
對配置節進行解密。此參數採用下面的可選參數： · -app virtualPath 指定應該在包含路徑的級別進行解密。 · -location subPath 指定要解密的子目錄。 · -pkm 指定應該對 Machine.config 而非 Web.config 文件進行解密。

-pdf section webApplicationDirectory
對指定物理（非虛擬）目錄中的 Web.config 文件的指定配置節進行解密。

-pe section
對指定的配置節進行加密。此參數採用下面的可選修飾符： · -prov provider 指定要使用的加密提供程序。 · -app virtualPath 指定應該在包含路徑的級別進行加密。 · -location subPath 指定要加密的子目錄。 · -pkm 指定應該對 Machine.config 而非 Web.config 文件進行加密。

-pef section webApplicationDirectory
對指定物理（非虛擬）目錄中的 Web.config 文件的指定配置節進行加密。
若是你是使用虛擬主機等不能訪問物理的服務器,你仍然可以經過編程方式加密的鏈接字符串: 1 Configuration config = Configuration.GetWebConfiguration(Request.ApplicationPath);
2 ConfigurationSection section = config.Sections["connectionStrings"];
3 section.SectionInformation.ProtectSection("RsaProtectedConfigurationProvider");;
4 config.Update ();或者 config.Save();


//加密web.Config中的指定節
private void ProtectSection(string sectionName)
{
Configuration config = WebConfigurationManager.OpenWebConfiguration(Request.ApplicationPath);
ConfigurationSection section = config.GetSection(sectionName);
if (section != null && !section.SectionInformation.IsProtected)
{
section.SectionInformation.ProtectSection("DataProtectionConfigurationProvider");
config.Save();
}
}

//解密web.Config中的指定節
private void UnProtectSection(string sectionName)
{
Configuration config = WebConfigurationManager.OpenWebConfiguration(Request.ApplicationPath);
ConfigurationSection section = config.GetSection(sectionName);
if (section != null && section.SectionInformation.IsProtected)
{
section.SectionInformation.UnprotectSection();
config.Save();
}
}


如今, 使用受保護配置對鏈接字符串值進行加密的配置文件不以明文形式顯示鏈接字符串，而是以加密形式存儲它們，以下面的示例所示： 
<configuration>

<connectionStrings configProtectionProvider="RsaProtectedConfigurationProvider">
<EncryptedData Type="http://www.w3.org/2001/04/xmlenc#Element"
xmlns="http://www.w3.org/2001/04/xmlenc#">
<EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#tripledes-cbc" />
<KeyInfo xmlns="http://www.w3.org/2000/09/xmldsig#">
<EncryptedKey xmlns="http://www.w3.org/2001/04/xmlenc#">
<EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#rsa-1_5" />
<KeyInfo xmlns="http://www.w3.org/2000/09/xmldsig#">
<KeyName>RSA Key</KeyName>
</KeyInfo>
<CipherData>
<CipherValue>RXO/zmmy3sR0iOJoF4ooxkFxwelVYpT0riwP2mYpR3FU+r6BPfvsqb384pohivkyNY7Dm4lPgR2bE9F7k6TblLVJFvnQu7p7d/yjnhzgHwWKMqb0M0t0Y8DOwogkDDXFxs1UxIhtknc+2a7UGtGh6D
i3N572qxdfmGfQc7ZbwNE=
</CipherValue>
</CipherData>
</EncryptedKey>
</KeyInfo>
<CipherData>
<CipherValue>KMNKBuV9nOid8pUvdNLY5I8R7BaEGncjkwYgshW8ClKjrXSM7zeIRmAy/cTaniu8Rfk92KVkEK83+UlQd+GQ6pycO3eM8DTM5kCyLcEiJa5XUAQv4KITBNBN6fBXsWrGuEyUDWZYm6Eijl8DqRDb
11i+StkBLlHPyyhbnCAsXdz5CaqVuG0obEy2xmnGQ6G3Mzr74j4ifxnyvRq7levA2sBR4lhE5M80Cd5yKEJktcPWZYM99TmyO3KYjtmRW/Ws/XO3z9z1b1KohE5Ok/YX1YV0+Uk4/yuZo0Bjk+rErG505YMfRVtxSJ4ee418
ZMfp4vOaqzKrSkHPie3zIR7SuVUeYPFZbcV65BKCUlT4EtPLgi8CHu8bMBQkdWxOnQEIBeY+TerAee/SiBCrA8M/n9bpLlRJkUb+URiGLoaj+XHym//fmCclAcveKlba6vKrcbqhEjsnY2F522yaTHcc1+wXUWqif7rSIPhc0+
MT1hB1SZjd8dmPgtZUyzcL51DoChy+hZ4vLzE=
</CipherValue>
</CipherData>
</EncryptedData>
</connectionStrings>



////////////////////////
若是是本身的主機能夠這麼作，若是不是，每次加密都要把密鑰告訴對方，工做量大，也不方便
一般而言，使用aspnet_regiis加密的web.config，但拷到另外一臺機器上後沒法訪問，這是由於密鑰容器未被一塊兒移植。
1.建立一個RSA密鑰容器
aspnet_regiis -pc "MyKeys" -exp
2.授予asp.net標識對RSA容器的訪問權限
aspnet_regiis -pa "MyKeys" "NT AUTHORITY/NETWORK SERVICE"
3.在Web.config 中指定加密保護提供程序（Provider）
<configuration>
<configProtectedData>
<add name="MyProvider"
type="System.Cofiguration.RsaProtectedConfigurationProvider"
keyContainerName="MyKeys"
useMachineContainer="true" />
</configProtectedData>
</configuration>
4. 加密<connectionStrings>節
aspnet_regiis -pe "connectionStrings" -app "/MyApp" -prov "MyProvider"

5. 導出RSA 密鑰容器
aspnet_regiis -px "MyKeys" "c:/keys.xml" -pri

6. 刪除RSA密鑰容器
aspnet_regiis -pz "MyKeys"
7.從XML中導入RSA 密鑰容器
aspnet_regiis -pi "MyKeys" "c:/keys.xml"
8.授予asp.net標識對RSA容器的訪問權限
aspnet_regiis -pa "MyKeys" "NT AUTHORITY/NETWORK SERVICE"




.net 2.0下加密和解密web.config文件中的某個section

aspnet_regiis –pef appSettings C:/Inetpub/wwwroot/website

aspnet_regiis –pdf appSettings C:/Inetpub/wwwroot/website 

不過本人覺得對web.config文件加密就應該每臺機器的單獨加密，由於導出導入密鑰容器的工做更大，還不如單獨加密效率高，安全性也要高一些。


.利用aspnet_regiis.exe工具加解密 

步驟:
1.先在本地生成RSA容器(有關RSA的詳細操做，可參見http://msdn.microsoft.com/zh-cn/library/yxw286t2(VS.80).aspx )
aspnet_regiis.exe -pc "JimmyKeys" -exp
注:JimmyKeys爲容器名字，可隨便改


2.再將RSA導出到xml文件
aspnet_regiis.exe -px "JimmyKeys" "c:/JimmyKeys.xml"


3.在web.config中增長一節,通常放在<appSettings>以前就能夠了，以下
<configProtectedData>
<providers>
<add name="JimmyRSAProvider"
type="System.Configuration.RsaProtectedConfigurationProvider,System.Configuration, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a"
keyContainerName="JimmyKeys"
useMachineContainer="true" />

</providers>
</configProtectedData>
<appSettings>
...

4.將web.config加密
aspnet_regiis.exe -pef "appSettings" "c:/website" -prov "JimmyRSAProvider" 
解密:
aspnet_regiis.exe -pdf "appSettings" "c:/website"


5.部署到遠程服務器(1臺或多臺)
a.將網站文件與JimmyKeys.xml(也就是導出的RSA容器文件)先上傳到服務器,同時導入RSA
aspnet_regiis.exe -pi "JimmyKeys" "c:/JimmyKeys.xml"


b.確認服務器上aspx登陸所用的默認賬號
Response.Write(System.Security.Principal.WindowsIdentity.GetCurrent().Name);
隨便建一個aspx，把上一行代碼貼到裏面就能夠了，IIS5環境下輸出的是ASPNET，IIS6環境下輸出的是NETWORK SERVICE，IIS7下沒試過也不知道輸出的是啥玩意兒


c.授於RSA窗口的讀取權限給b中的默認賬號
aspnet_regiis.exe -pa "JimmyKeys" "NETWORK SERVICE"

順便把剛纔這些個操做的命令整理成幾個批處理
1.本機bat(新建RSA容器，導出容器，加密web.config)
%windir%/Microsoft.NET/Framework/v2.0.50727/aspnet_regiis.exe -pz "JimmyKeys" 
%windir%/Microsoft.NET/Framework/v2.0.50727/aspnet_regiis.exe -pc "JimmyKeys" -exp
%windir%/Microsoft.NET/Framework/v2.0.50727/aspnet_regiis.exe -px "JimmyKeys" "c:/JimmyKeys.xml"
%windir%/Microsoft.NET/Framework/v2.0.50727/aspnet_regiis.exe -pef "appSettings" "c:/website" -prov "JimmyRSAProvider"

2.遠程服務器bat(導入RSA容器，受權)
%windir%/Microsoft.NET/Framework/v2.0.50727/aspnet_regiis.exe -pi "JimmyKeys" "c:/JimmyKeys.xml"
%windir%/Microsoft.NET/Framework/v2.0.50727/aspnet_regiis.exe -pa "JimmyKeys" "NETWORK SERVICE" 


加密前:
<connectionStrings>
<add name="connStr" connectionString="Data Source=server;Initial Catalog=Lib;User ID=sa;password=***"
providerName="System.Data.SqlClient" />
</connectionStrings>
加密後:
<connectionStrings configProtectionProvider="JimmyRSAProvider">
<EncryptedData Type="http://www.w3.org/2001/04/xmlenc#Element"
xmlns="http://www.w3.org/2001/04/xmlenc#">
<EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#tripledes-cbc" />
<KeyInfo xmlns="http://www.w3.org/2000/09/xmldsig#">
<EncryptedKey xmlns="http://www.w3.org/2001/04/xmlenc#">
<EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#rsa-1_5" />
<KeyInfo xmlns="http://www.w3.org/2000/09/xmldsig#">
<KeyName>Rsa Key</KeyName>
</KeyInfo>
<CipherData>

<CipherValue>breSi2wD4X4CAKh0puzhYtyltmR3cp9JfEE8Yw03NeWGZCOoEvDuxAceKLEsmYx8r/tI5NsZxOmY20pQzD1KvGELzz4rhkEPE9LKTAwyKNhqzMPFoRnjsdGTvs6JhrvVat9rdvgKbfTvVLXuvpXgSeNB0T6XJWq
/vOIU7KTyFjk=</CipherValue>
</CipherData>
</EncryptedKey>
</KeyInfo>
<CipherData>

<CipherValue>c4HD+EfJl//pv4eEzT938aWYhLyPBUt8lbNWf4Y4c6tewWLNBTwgYXtxPh6TnF8ne6s9H5C/AwXy/3JECuNEd8YGOO+RDhxw8NySd8vUc53+iUiHW5TLs/aoIvy8k1yOfLWGKFFWPtoX4F4gMTS+MAmhkiHQ46p
H2VyjyprNsl8LE2pGNjDOJnDeGYq+wkn2iw968+qjuTCibGJn6h6iGYGHYmkYUrgRzfo3iIZu+eCWE2IqCP+s58eQRjU3MxJ2BqeUU9HaKy4=</CipherValue>
</CipherData>
</EncryptedData>
</connectionStrings>
一樣，這種方式加密後，aspx讀取節點時也無需任何解密處理，代碼不用作任何修改

注意:並非全部的節點都能加密，ASP.NET 2.0僅支持對Web.config的部分配置節進行加密，如下配置節中的數據是不能進行加密的：
&#8226; <processModel>
&#8226; <runtime>
&#8226; <mscorlib>
&#8226; <startup>
&#8226; <system.runtime.remoting>
&#8226; <configProtectedData>
&#8226; <satelliteassemblies>
&#8226; <cryptographySettings>
&#8226; <cryptoNameMapping>
&#8226; <cryptoClasses>

另外，除了AppSettings和ConnectionStrings之外的其它節點，能夠這樣寫:
aspnet_regiis.exe -pef "system.serviceModel/behaviors" "d:/website/cntvs/" 

即對<system.serviceModel>下的<behaviors>節點加密,這一節點一樣適用於代碼方式加密，通過屢次嘗試，彷佛除了AppSettings和ConnectionStrings之外的其它節點，只能支持二級節點。

象如下寫法:
aspnet_regiis.exe -pef "system.serviceModel/behaviors/endpointBehaviors" "d:/website/cntvs"　
運行時會報錯:
未找到配置節「system.serviceModel/behaviors/endpointBehaviors」。