計算機密鑰有助於保護 Forms 身份驗證 Cookie 數據和頁級視圖狀態數據。它們還用於驗證進程外會話狀態標識。 使用以下類型的計算機密鑰:
- 驗證密鑰,用於計算消息驗證代碼 (MAC) 以確認數據的完整性。此密鑰附加到 Forms 身份驗證 Cookie 或特定頁的視圖狀態。
- 解密密鑰,用於對 Forms 身份驗證票證和視圖狀態進行加密和解密。
(一)生成計算機密鑰
1. 開啟 IIS 管理器,然後導航至要管理的級別。
2. 在"功能視圖"中,右鍵單擊"計算機密鑰",然後單擊"開啟功能"。
3. 在"計算機密鑰"頁上,從"加密方法"下拉列表中選擇一種加密方法。默認加密方法爲"SHA1"。
4. 從"解密方法"下拉列表中選擇一種解密方法。默認解密方法爲"自動"。
5. 此外,也可以配置驗證密鑰和解密密鑰的設定。
6. 在"操作"窗格中,單擊"生成密鑰",然後單擊"應用"。
(二)選擇計算機密鑰加密方法
透過選擇良好的計算機密鑰加密方法,可以增強你創建的計算機密鑰的安全性。
有下列加密方法可供使用:
- 進階加密標準 (AES) 實現起來相對容易一些,並且需要很少的內存。AES 的密鑰大小爲 128、192 或 256 位。此方法使用相同的私鑰對數據進行加密和解密,而公鑰方法必須使用成對的密鑰。
- Message Digest 5 (MD5) 用於對應用程序(例如郵件)進行數字簽名。此方法將產生 128 位的哈希,這是一種壓縮格式的原始數據。MD5 可以提供一定的保護,考試,大提示以防止遭受計算機病毒和某些程序(看上去像是無害的應用程序,而實際上具有破壞性)的攻擊。這些程序稱作特洛伊木馬。
- 安全哈希算法 (SHA1) 是默認的加密方法,它被認爲比 MD5 更加安全,因爲它產生 160 位的消息摘要。應該儘可能使用 SHA1 加密。
- 三重數據加密標準 (TripleDES) 與數據加密標準 (DES) 稍有不同。它的速度比普通 DES 慢三倍,但是它更加安全,因爲它的密鑰大小爲 192 位。如果性能不是主要考慮的問題,請考慮使用 TripleDES。
具體實現步驟如下:
1. 開啟 IIS 管理器,然後導航至要管理的級別。
2. 在"功能視圖"中,雙擊"計算機密鑰"。
3. 在"計算機密鑰"頁上,從"加密方法"下拉列表中選擇一種加密方法。默認加密方法爲"SHA1"。
4. 在"操作"窗格中,單擊"應用"。
(三)選擇計算機密鑰解密方法
與加密方法類似,執行如下步驟即可:
1. 開啟 IIS 管理器,然後導航至要管理的級別。
2. 在"功能視圖"中,雙擊"計算機密鑰"。
3. 在"計算機密鑰"頁上,從"解密方法"下拉列表中選擇一種解密方法。默認解密方法爲"自動"。
4. 在"操作"窗格中,單擊"應用"。
(四)在執行時生成驗證密鑰
如果你希望 創建隨機密鑰並將其存儲在本地安全機構 (LSA) 中,就需要在執行時生成驗證密鑰。默認情況下,將在執行時生成驗證密鑰。此密鑰可確保 Forms 身份驗證票證不會被篡改且已經加密,並且視圖狀態也不會被篡改。透過在執行時生成驗證密鑰,還可以保證服務器在處理數據時能夠檢測到對視圖狀態或身份驗證票證所做的全部修改,而無論修改是在客戶端計算機上進行的,還是透過網絡進行的。
1. 開啟 IIS 管理器,然後導航至要管理的級別。
2. 在"功能視圖"中,雙擊"計算機密鑰"。
3. 在"計算機密鑰"頁的"驗證密鑰"下,選中"執行時自動生成"複選框,然後在"操作"窗格中單擊"應用"。
(五)爲每個應用程序生成唯一的驗證密鑰
當你希望 創建隨機密鑰時,可以爲每個應用程序生成唯一的驗證密鑰。本地安全機構 (LSA) 使用每個應用程序的應用程序 ID 來創建此密鑰。LSA 然後會將此密鑰存儲在 Web 服務器上。
1. 開啟 IIS 管理器,然後導航至要管理的級別。
2. 在"功能視圖"中,雙擊"計算機密鑰"。
3. 在"計算機密鑰"頁的"驗證密鑰"下,選中"爲每個應用程序生成一個唯一密鑰"複選框,然後在"操作"窗格中單擊"應用"。
(六)在執行時生成解密密鑰
如我們希望 生成隨機密鑰並將其存儲在本地安全機構 (LSA) 中,就需要在執行時生成解密密鑰。默認情況下,在執行時生成解密密鑰。此密鑰可確保 Forms 身份驗證票證不會被篡改且已經加密,並且視圖狀態也不會被篡改。透過在執行時生成解密密鑰,還可以保證服務器在處理數據時能夠檢測到對視圖狀態或身份驗證票證所做的全部修改,而無論修改是在客戶端計算機上進行的`,還是透過網絡進行的。
1. 開啟 IIS 管理器,然後導航至要管理的級別。
2. 在"功能視圖"中,雙擊"計算機密鑰"。
3. 在"計算機密鑰"頁的"解密密鑰"下,選中"執行時自動生成"複選框,然後在"操作"窗格中單擊"應用"。
(七)爲每個應用程序生成唯一的驗證密鑰
當希望 創建隨機密鑰時,可以爲每個應用程序生成唯一的驗證密鑰。本地安全機構 (LSA) 使用每個應用程序的應用程序 ID 來創建此密鑰。LSA 然後會將此密鑰存儲在 Web 服務器上。
1. 開啟 IIS 管理器,然後導航至要管理的級別。
2. 在"功能視圖"中,雙擊"計算機密鑰"。
3. 在"計算機密鑰"頁的"驗證密鑰"下,選中"爲每個應用程序生成一個唯一密鑰"複選框,然後在"操作"窗格中單擊"應用"。
(八)爲 Web 場生成計算機密鑰
若要在 Web 場配置中的多臺計算機之間使用 Forms 身份驗證,必須手動生成特定的驗證和解密密鑰值,並在該 Web 場中的所有計算機上使用這些值。
1. 開啟 IIS 管理器,然後導航至要管理的級別。
2. 在"功能視圖"中,雙擊"計算機密鑰"。
3. 若要爲 Web 場生成特定的驗證和解密密鑰值,請在"計算機密鑰"頁上,清除驗證密鑰和解密密鑰的"爲每個應用程序生成一個唯一密鑰",再清除"執行時自動生成",然後在"操作"窗格中單擊"生成密鑰"以創建特定的密鑰值。
4. 在"操作"窗格中,單擊"應用"。