存储X509证书DB-是啊或不?

Question

我发现自己需要储存的公共钥匙证书，和一个单一的私人钥匙证书，内部应用程序。

我们的团队成员的建议储存X509证书的数据库，而不是它储存在窗户证书店，因为我们一直做直到现在。我不喜欢重新发明轮子，但我至少考虑这个想法。这将意味着保持我们的数据更加集中，这是很好的，我想。

初始障碍，我可以看到的是：

• 私人钥匙仍然需要储存的地方，我不知道如果shoehorning它成为一个公共关键'表是一个好主意。我不喜欢这个想法设立一个表中一个单元。也许只是保持私人关键作为一个地方文件？(.pfx文件，例如)。
• 撤销清单。我们可能会有设定一个过程来处理与撤销的公共钥匙。

我没有很多的经验X509证书，因此，我的问题是：是否有任何其他问题，我们可能遇到储存的公共钥匙证书数据库中，而不是有窗户证书的店？

这是值得铭记，这种应用将推广到几个企业客户服务器，以保持所有的数据在一个地点将使得更容易备份。哦，在内部应用程序的问题是，正在制订C#..

谢谢！

Answer 1

的目的是什么你的应用程序？

如果你正在处理所有的密码在应用程序，并可以参考，12cert+私钥的文件，则将该数据库的路线，可能是罚款。

如果你需要使用Windows加密API访问证书，然后你可能会想要保留使用内证书店。你获得一些优点在这里你可以保护私钥在一个外部设备，如智能卡或硬件安全模块(口).

你只想确定你通过了显着的努力来保护私钥如果你存储的一切在地磁盘。一定要使用一种强烈的密码和使用最佳做法，以保护这个密码应用。

Answer 2

我不愿意搬的私人钥匙的其他任何位置，除非真的有必要。它不需要如果关键的是对于正在使用签字和也只是需要如果钥匙被用于进行解密，并希望将其存档的未来。即使在这个例证书授权签发的证书通常能够处理档案和恢复。这是肯定的情况下为更受欢迎的CAs如Microsoft，并委托.

如果你必须保存它，然后对其进行加密使用AES和一把钥匙，你能够保护无论是在口(硬件安全模块)或智能卡。不要离开这个关键在纯文本(在文件或注册).

你还希望保护这个关键在过境国之间生成的位置和中心数据库。SSL或VPN等

撤销列表发布的证书的权威在多数的环境中，通常要LDAP或目录或两者。