Я добавляю поддержку токенов JWT в своем веб-приложении, и у меня есть сертификат X509, который необходим для подписания этих токенов.Какое хранилище сертификатов следует использовать для хранения сертификата для подписывания/шифрования токенов JWT?
Я отклонил идею использования того же сертификата, который мы используем для HTTP (см. Can I use the Private Key Certificate of Web App to sign JWT?).
Я думаю, что сам подписанный сертификат должен делать трюк, на самом деле я не вижу никаких преимуществ сети доверия в этом сценарии (это не значит, что их нет, я просто не могу думать любой).
Веб-приложение работает на ферме веб-серверов. Мой текущий план состоит в том, чтобы создать самоподписанный сертификат и поместить сертификат X509 в хранилище сертификатов в Windows на каждой машине. Наш ИТ-отдел проверяет, но они думают, что могут перевернуть это на все веб-серверы в ферме с помощью групповой политики. Таким образом, это похоже на реальный план.
Магазин сертификатов в окнах выглядит довольно запутанным для меня. Я думаю, что есть два варианта:
1) Поместите его в «Мой» магазин для пользователя, под которым запускается пул приложений IIS. Есть много пулов приложений, поэтому, возможно, сертификат будет во многих магазинах.
2) Поместите его в магазин LocalMachine, а затем предоставите явный доступ к определенному сертификату для пользователей (ов) IIS.
3) Что-то еще я не могу придумать.
Есть ли «правильное» место для этих типов сертификатов, и если да, то где это?