Microsoft Dynamics CRM 中的密钥管理

密钥类型

通过 Internet 访问应用程序部署时，Microsoft Dynamics CRM 使用三种类型的私钥加密密钥。

• CRM-票据密钥。该密钥创建 CRM 票据（在每次 Microsoft Dynamics CRM 用户登录到系统时都会生成 CRM 票据）。另外，每次对 Microsoft Dynamics CRM 服务器进行请求时，CRM-票据密钥都会对 CRM 票据进行加密来验证用户，而不需要强制用户重新输入凭证。

• Web 远程过程调用 (WRPC)-令牌密钥。这用于生成安全令牌，可帮助确保该请求确实源自于进行请求的用户。该安全令牌可降低某些攻击的可能性，例如跨站点请求伪造（单键）攻击。

• CRM 电子邮件凭据密钥。该密钥会对电子邮件路由器的凭据（可选的 Microsoft Dynamics CRM 组件）进行加密。

密钥重新生成和续订

自动生成和续订 CRM-票据密钥，然后分发或部署到所有运行 Microsoft Dynamics CRM 或运行特定 Microsoft Dynamics CRM 服务器角色的计算机中。会定期生成这些密钥，然后反过来替换以前的密钥。默认情况系，每 24 小时生成一次密钥。

密钥管理日志记录

Microsoft Dynamics CRM 在“事件查看器”的“应用程序”日志中记录加密密钥事件。您可以基于“源”列进行过滤，查找 MSCRMKeyServiceName 项，其中 ServiceName 是密钥管理服务，例如：MSCRMKeyArchiveManager 或 MSCRMKeyGenerator。

密钥存储

加密密钥存储在 Microsoft Dynamics CRM 配置数据库 (MSCRM_CONFIG) 中。

警告

默认情况下，加密密钥不会以加密格式存储在配置数据库中。我们强烈建议您在运行安装程序时指定加密。有关如何加密 Microsoft Dynamics CRM 密钥的详细信息，请参阅以下部分“如何加密 Microsoft Dynamics CRM 密钥”。

如何加密 Microsoft Dynamics CRM 密钥

在您运行 Microsoft Dynamics CRM 安装程序之前，您可以在 XML 配置文件中添加加密项。同时，这台计算机必须是第一台安装 Microsoft Dynamics CRM 服务器角色的计算机，并且您必须在命令行中运行 Microsoft Dynamics CRM 安装程序。安装期间，安装程序会创建服务器主密钥和数据库主密钥，这两个密钥用于加密 Microsoft Dynamics CRM 证书。

重要提示

有关如何在命令行中安装 Microsoft Dynamics CRM 的详细说明，请参阅Microsoft Dynamics CRM 实施指南中“安装指南”的“使用命令行安装 Microsoft Dynamics CRM”一章。

<configdb> 是以下加密密钥元素的上级元素：

<encryptionkeys certificate="CrmEncryptionCertificate" generate="true"/"False" password="SCpassword" keysource="uniqueID">

encryptionkeys 元素指定如何以及是否对存储在 Microsoft Dynamics CRM 系统中的密钥进行加密。使用 generate="true" 来启用系统生成加密密钥。keysource 可以是任何值，但必须与其他 keysource 值不同。SCpassword 是用于创建对称证书的密码。