Где хранить закрытый ключ rsa в приложении загрузки весны

Question

Итак, у меня есть приложение для загрузки весны, где я использую ключ RSA от Amazon. На данный момент это в формате .pem и сохраняется в локальной папке внутри моего проекта.

Но где я должен хранить это при развертывании приложения в сети: Может хранить это в другом формате и предпочтительно использовать его в application.properties? Могу ли я использовать ключ rsa как строку или всегда из файла? Или мне нужно сохранить это в безопасном месте на сервере?

Где это было бы и насколько это безопасно? У меня есть другие варианты?

Answer 1

Лучшим местом для хранения закрытого ключа является смарт-карта или аппаратный модуль безопасности (HSM), так что ключ никогда не может быть украден.

Amazon does have an HSM service, но это дорого.

Следующее лучшее место для хранения файла находится в файле (принадлежит и читается только пользователем, к которому выполняется ваше приложение) и сохраняет его пароль в переменной окружения пользователя ОС, так что он по умолчанию безопасен и не может быть проверен в исходное управление.