Как я могу легко развернуть сертификат с хост-приложением?

Question

Мой пример использования очень прост: у меня есть приложение с графическим интерфейсом, и внутри этого приложения я размещаю службу, однако клиенты этих служб должны иметь возможность аутентифицироваться с помощью имени пользователя (единственное, что я хочу, - это шифровать сообщения, чтобы быть уверенным что никто не может понюхать, чтобы получить пароль клиентов, я не беспокоюсь о большей безопасности).

Итак, я хочу отправить сертификат с моим приложением с графическим интерфейсом и чтобы мой хост (который находится внутри приложения с графическим интерфейсом ... я знаю, что он немного грязный) использует сертификат для шифрования сообщений.

Итак, мой вопрос: обязывает ли меня мои требования установить сертификат в хранилище на хост-машине? Обязан ли я создавать новый сертификат с makecert для каждого хоста?

Какой самый простой способ развернуть мое приложение?

(я управляю клиентским приложением, поэтому проверка сертификата не является проблемой)

Answer 1

Прежде всего вы должны не использовать makecert для генерации производственных сертификатов.

Вы можете хранить сертификат в коде, а не в машине, но имейте в виду, что безопасность всего шифрования так же хороша, как и безопасность закрытого ключа сертификата. Если машина, на которой будет запускаться приложение, защищена, вы можете использовать сертификат «incode», но если вы не можете гарантировать безопасность хост-машины, вам следует установить сертификат в Магазине Windows. Убедитесь, что у пользователя, запускающего приложение, есть разрешения на чтение закрытого ключа сертификата.

Если вы используете WSE или WCF, убедитесь, что вы протестировали стандартные методы шифрования сообщений или транспорта, чтобы убедиться, что они подходят для вашего использования.

Здесь - это несколько ссылок для программной установки сертификата с закрытым ключом (файл .pfx).