証明書バンドル(.pfxファイル)の保管
複数の環境(Test/Prodなど)にデプロイされたアプリケーションで、環境固有の証明書バンドル(.pfxファイル)を保存するための良い方法は何ですか?
.pfxファイルをパスワードで保護し、アプリケーションコード(例: cert.{Environment}.pfx許容できるアプローチ?パスワードは、環境変数または環境固有のボールト(Azure Key Vault/AWSパラメーターストアなど)から取得されます
証明書と秘密鍵をアプリケーションリソースから分離することをお勧めします。開発者は、アプリケーションが信頼できる証明書や、アプリケーションが使用する秘密鍵を制御できません。
アプリケーションの環境がオンプレミスボックスである場合、カスタム証明書ストアを構築することをお勧めします。これにより、格納された証明書をオンデマンドで提供します。 Windows環境では、この種のソリューションにはCNGキーストアプロバイダーの使用をお勧めします。
クラウドベースのソリューションでは、証明書、キー、シークレットを保存するための安全なソリューションを提供するAzure Key VaultとマネージドサービスIDの使用を提案します。