Udostępnij za pośrednictwem

Wytyczne dotyczące zarządzania certyfikatami i kluczami

  • Artykuł

Dotyczy:

  • Microsoft Azure Active Directory Access Control (znana również jako usługa Access Control lub ACS)

Podsumowanie

W tym temacie opisano wytyczne dotyczące używania certyfikatów i kluczy w usłudze ACS. Ponieważ certyfikaty i klucze wygasają zgodnie z projektem, ważne jest, aby śledzić daty wygaśnięcia i podejmować odpowiednie działania przed wygaśnięciem, aby aplikacje korzystające z usług ACS działały prawidłowo bez przerwy.

Ważne

Śledzenie wygasania i odnawiania certyfikatów, kluczy i haseł używanych przez przestrzeń nazw Access Control, aplikacji jednostki uzależnionej, tożsamości usług i konta usługi ZARZĄDZANIA ACS.

Cele

  • Wyświetlanie listy certyfikatów i kluczy, które muszą być śledzone pod kątem dat wygaśnięcia

  • Opis procedur odnawiania certyfikatów i kluczy

    Ważne

    Zapoznaj się z konkretną sekcją certyfikatu, poświadczeń lub klucza w tym temacie, aby uzyskać komunikaty o błędach i proces odnawiania.

Omówienie

Ponieważ certyfikaty mają gwarancję wygaśnięcia, dobrym rozwiązaniem jest przekazanie nowego certyfikatu przed wygaśnięciem bieżącego certyfikatu. Kroki wysokiego poziomu, które powinny być zaangażowane, są następujące:

  • Przekaż nowy certyfikat pomocniczy.

  • Powiadom partnerów, którzy korzystają z usługi nadchodzącej zmiany. Partnerzy powinni zaktualizować konfigurację certyfikatu dla swoich jednostek uzależnionych (na przykład odcisk palca certyfikatu skonfigurowanego w web.config w węźle trustedIsuers w aplikacji internetowej ASP.NET)

  • Przełącz podpisywanie do nowego certyfikatu (oznacz go jako podstawowy) podczas opuszczania poprzedniego na rozsądny okres prolongaty.

  • Po zakończeniu okresu prolongaty usuń stary certyfikat. 

Po wygaśnięciu certyfikatu lub klucza próby wystawienia tokenów przez usługę ACS kończą się niepowodzeniem, a aplikacja jednostki uzależnionej nie może działać prawidłowo. Usługa ACS ignoruje wygasłe certyfikaty i klucze, co powoduje takie same wyjątki, które byłyby zgłaszane, jeśli certyfikat lub klucz nigdy nie został skonfigurowany.

W poniższych sekcjach przedstawiono informacje dotyczące zarządzania certyfikatami i kluczami używanymi przez usługę ACS, sposobu ich odnawiania oraz identyfikowania certyfikatów i kluczy zbliżających się do wygaśnięcia lub wygaśnięcia.

  • Aby zarządzać certyfikatami i kluczami dla Access Control przestrzeni nazw i aplikacji jednostki uzależnionej, użyj strony Certyfikaty i klucze w portalu zarządzania acS. Aby uzyskać więcej informacji na temat tych typów poświadczeń, zobacz Certyfikaty i klucze.

  • Aby zarządzać poświadczeniami (certyfikatami, kluczami lub hasłami) tożsamości usługi, użyj strony Tożsamości usługi w portalu zarządzania acS. Aby uzyskać więcej informacji na temat tożsamości usług, zobacz Tożsamości usługi.

  • Aby zarządzać poświadczeniami (certyfikatami, kluczami lub hasłami) kont usługi zarządzania ACS, użyj strony Usługa zarządzania w portalu zarządzania ACS. Aby uzyskać więcej informacji na temat usługi zarządzania ACS, zobacz Usługa zarządzania ACS.

  • Aby zarządzać certyfikatami dla dostawców tożsamości WS-Federation, takich jak ad FS 2.0, użyj strony Dostawcy tożsamości w portalu zarządzania ACS. Aby uzyskać więcej informacji, zobacz WS-Federation certyfikat dostawcy tożsamości i dostawcy tożsamości federacji WS-Federation.

    Aby programowo wyświetlać i aktualizować certyfikaty i klucze dostawcy tożsamości WS-Federation, użyj usługi zarządzania ACS. Aby sprawdzić obowiązujące daty certyfikatu, wykonaj zapytanie o wartości właściwości StartDate i EndDate jednostki IdentityProviderKey . Aby uzyskać więcej informacji, pobierz przykładowy kod KeyManagement , Przykład kodu: zarządzanie kluczami.

Gdy żądasz tokenu podpisanego przez wygasły certyfikat lub klucz, usługa ACS zgłasza wyjątki, które mają kody błędów acS specyficzne dla certyfikatu lub klucza. Zapoznaj się z poniższymi sekcjami, aby uzyskać szczegółowe kody błędów.

Dostępne certyfikaty i klucze

Poniższa lista zawiera dostępne certyfikaty i klucze, które są używane w usłudze ACS i muszą być śledzone pod kątem dat wygaśnięcia:

Ważne

Zapoznaj się z konkretną sekcją certyfikatu, poświadczeń lub klucza w tym temacie, aby uzyskać komunikaty o błędach i proces odnawiania.

  • Certyfikaty podpisywania tokenów

  • Klucze podpisywania tokenu

  • Certyfikaty szyfrowania tokenów

  • Certyfikaty odszyfrowywania tokenów

  • Poświadczenia tożsamości usługi

  • Poświadczenia konta usługi zarządzania usługą ACS

  • certyfikaty podpisywania i szyfrowania dostawcy tożsamości WS-Federation

W pozostałej części tego tematu szczegółowo omówiono każdy certyfikat i klucz.

Certyfikaty podpisywania tokenów

Usługa ACS podpisuje wszystkie tokeny zabezpieczające, które występują. Używa certyfikatów X.509 do podpisywania tokenów SAML dla aplikacji.

Po wygaśnięciu certyfikatu podpisywania usługa ACS zwraca następujące błędy podczas żądania tokenu:

Kod błędu Komunikat Środek

ACS50004

Nie skonfigurowano podstawowego certyfikatu podpisywania X.509. Certyfikat podpisywania jest wymagany dla języka SAML.

Jeśli wybrana jednostka uzależniona używa tokenów SAML, upewnij się, że prawidłowy certyfikat X.509 jest skonfigurowany dla jednostki uzależnionej lub przestrzeni nazw Access Control. Certyfikat musi być ustawiony na podstawowy i nie może być wygasły.

Aby odnowić certyfikat podpisywania:

  1. Przejdź do portalu zarządzania Microsoft Azure (https://manage.WindowsAzure.com), zaloguj się, a następnie kliknij pozycję Active Directory. (Porada dotycząca rozwiązywania problemów: brak elementu "Active Directory" lub jest on niedostępny)

  2. Aby zarządzać przestrzenią nazw Access Control, wybierz przestrzeń nazw, a następnie kliknij pozycję Zarządzaj. (Lub kliknij Access Control przestrzenie nazw, wybierz przestrzeń nazw, a następnie kliknij pozycję Zarządzaj).

  3. Kliknij pozycję Certyfikaty i klucze.

  4. Wybierz certyfikat ze stanem Bliskie wygasłe lub Wygasłe.

    Uwaga

    W sekcji Certyfikaty i klucze certyfikaty i klucze dla przestrzeni nazw Access Control są oznaczone etykietą Przestrzeń nazw usługi.

  5. Wprowadź lub wygeneruj certyfikat zgodnie z wymaganiami.

  6. Zaktualizuj daty obowiązujące i wygasania .

  7. Kliknij przycisk Zapisz , aby ukończyć.

Klucz podpisywania tokenu

Usługa ACS podpisuje wszystkie tokeny zabezpieczające, które występują. Usługa ACS używa 256-bitowych kluczy podpisywania symetrycznego dla aplikacji korzystających z tokenów SWT wystawionych przez usługę ACS.

Po wygaśnięciu kluczy podpisywania usługa ACS zwraca następujące błędy podczas żądania tokenu:

Kod błędu Komunikat Środek

ACS50003

Nie skonfigurowano podstawowego klucza podpisywania symetrycznego. Klucz podpisywania symetrycznego jest wymagany dla swT.

Jeśli wybrana jednostka uzależniona używa narzędzia SWT jako typu tokenu, upewnij się, że klucz symetryczny jest skonfigurowany dla jednostki uzależnionej lub Access Control przestrzeni nazw, a klucz jest ustawiony na podstawowy i nie wygasł.

Aby odnowić klucz podpisywania:

  1. Przejdź do portalu zarządzania Microsoft Azure (https://manage.WindowsAzure.com), zaloguj się, a następnie kliknij pozycję Active Directory. (Porada dotycząca rozwiązywania problemów: brak elementu "Active Directory" lub jest on niedostępny)

  2. Aby zarządzać przestrzenią nazw Access Control, wybierz przestrzeń nazw, a następnie kliknij pozycję Zarządzaj. (Lub kliknij Access Control przestrzenie nazw, wybierz przestrzeń nazw, a następnie kliknij pozycję Zarządzaj).

  3. Kliknij pozycję Certyfikaty i klucze.

  4. Wybierz klucz ze stanem Bliskie wygasłe lub Wygasłe.

    Uwaga

    W sekcji Certyfikaty i klucze certyfikaty i klucze dla przestrzeni nazw Access Control są oznaczone etykietą Przestrzeń nazw usługi.

  5. Wprowadź lub wygeneruj klucz zgodnie z wymaganiami.

  6. Zaktualizuj daty obowiązujące i wygasania .

  7. Kliknij przycisk Zapisz , aby ukończyć.

Certyfikaty szyfrowania tokenów

Szyfrowanie tokenu jest wymagane, gdy aplikacja jednostki uzależnionej jest usługą internetową, która używa tokenów dowodowych posiadania za pośrednictwem protokołu WS-Trust. W innych przypadkach szyfrowanie tokenu jest opcjonalne.

Po wygaśnięciu certyfikatów szyfrowania usługa ACS zwraca następujące błędy podczas żądania tokenu:

Kod błędu Komunikat Środek

ACS50005

Szyfrowanie tokenu jest wymagane, ale nie skonfigurowano certyfikatu szyfrowania dla jednostki uzależnionej.

Wyłącz szyfrowanie tokenu dla wybranej jednostki uzależnionej lub przekaż certyfikat X.509 do użycia na potrzeby szyfrowania tokenu.

Aby odnowić certyfikat szyfrowania:

  1. Przejdź do portalu zarządzania Microsoft Azure (https://manage.WindowsAzure.com), zaloguj się, a następnie kliknij pozycję Active Directory. (Porada dotycząca rozwiązywania problemów: brak elementu "Active Directory" lub jest on niedostępny)

  2. Aby zarządzać przestrzenią nazw Access Control, wybierz przestrzeń nazw, a następnie kliknij pozycję Zarządzaj. (Lub kliknij Access Control przestrzenie nazw, wybierz przestrzeń nazw, a następnie kliknij pozycję Zarządzaj).

  3. Kliknij pozycję Certyfikaty i klucze.

  4. Wybierz certyfikat ze stanem Bliskie wygasłe lub Wygasłe.

    Uwaga

    W sekcji Certyfikaty i klucze certyfikaty i klucze dla przestrzeni nazw Access Control są oznaczone etykietą Przestrzeń nazw usługi.

  5. Wprowadź lub przejdź do nowego pliku certyfikatu, a następnie wprowadź hasło dla tego pliku.

  6. Kliknij przycisk Zapisz , aby ukończyć.

Certyfikaty odszyfrowywania tokenów

Usługa ACS może akceptować zaszyfrowane tokeny od dostawców tożsamości WS-Federation, takich jak AD FS 2.0. Usługa ACS używa certyfikatu X.509 hostowanego w usłudze ACS do odszyfrowywania.

Po wygaśnięciu certyfikatów odszyfrowywania usługa ACS zwraca następujące błędy podczas żądania tokenu:

Kod błędu Komunikat

ACS10001

Wystąpił błąd podczas przetwarzania nagłówka SOAP.

ACS20001

Wystąpił błąd podczas przetwarzania odpowiedzi WS-Federation logowania.

Aby odnowić certyfikat odszyfrowywania:

  1. Przejdź do portalu zarządzania Microsoft Azure (https://manage.WindowsAzure.com), zaloguj się, a następnie kliknij pozycję Active Directory. (Porada dotycząca rozwiązywania problemów: brak elementu "Active Directory" lub jest on niedostępny)

  2. Aby zarządzać przestrzenią nazw Access Control, wybierz przestrzeń nazw, a następnie kliknij pozycję Zarządzaj. (Lub kliknij Access Control przestrzenie nazw, wybierz przestrzeń nazw, a następnie kliknij pozycję Zarządzaj).

  3. Kliknij pozycję Certyfikaty i klucze.

  4. Użyj sekcji Certyfikaty i klucze w portalu zarządzania usługą ACS, aby zarządzać certyfikatami lub kluczami związanymi z przestrzeniami nazw Access Control i aplikacjami jednostki uzależnionej.

  5. Wybierz certyfikat ze stanem Bliskie wygasłe lub Wygasłe.

    Uwaga

    W sekcji Certyfikaty i klucze certyfikaty i klucze dla przestrzeni nazw Access Control są oznaczone etykietą Przestrzeń nazw usługi.

  6. Wprowadź lub przejdź do nowego pliku certyfikatu, a następnie wprowadź hasło dla tego pliku.

  7. Kliknij przycisk Zapisz , aby ukończyć.

Poświadczenia tożsamości usługi

Tożsamości usługi to poświadczenia skonfigurowane globalnie dla przestrzeni nazw Access Control. Umożliwiają one aplikacjom lub klientom uwierzytelnianie bezpośrednio za pomocą usługi ACS i odbieranie tokenu. Tożsamość usługi ACS może być używana przy użyciu kluczy symetrycznych, haseł i certyfikatów X.509. Usługa ACS zgłasza następujące wyjątki, gdy poświadczenia wygasły.

Poświadczenie Kod błędu Komunikat Środek

Klucz symetryczny, hasło

ACS50006

Weryfikacja podpisu nie powiodła się. (Szczegóły języka M znajdują się w wiadomości).

Certyfikat X.509

ACS50016

X509Certificate z podmiotem "<Nazwa> podmiotu certyfikatu" i odciskiem> palca "<Odcisk palca certyfikatu" nie jest zgodny z żadnym skonfigurowanym certyfikatem.

Upewnij się, że żądany certyfikat został przekazany do usługi ACS.

Aby zweryfikować i zaktualizować daty wygaśnięcia kluczy symetrycznych lub hasła albo przekazać nowy certyfikat jako poświadczenia tożsamości usługi, postępuj zgodnie z instrukcjami opisanymi w temacie Instrukcje: Dodawanie tożsamości usługi z certyfikatem X.509, hasłem lub kluczem symetrycznym. Lista poświadczeń tożsamości usługi dostępnych na stronie Edytowanie tożsamości usługi .

  1. Przejdź do strony Tożsamości usługi w portalu zarządzania ACS.

  2. Wybierz tożsamość usługi.

  3. Wybierz poświadczenie, klucz symetryczny, hasło lub certyfikat X.509 ze stanem Wygasły lub Prawie wygasły .

  4. W przypadku klucza symetrycznego wprowadź lub wygeneruj nowy klucz, a następnie wprowadź daty obowiązujące i wygasania . Kliknij pozycję Zapisz.

  5. W przypadku hasła wprowadź nowe hasło i wprowadź obowiązujące i wygasanie dat. Kliknij pozycję Zapisz.

  6. W przypadku certyfikatu X.509 wprowadź lub przejdź do nowego pliku certyfikatu, a następnie kliknij przycisk Zapisz.

Poświadczenia usługi zarządzania

Usługa zarządzania ACS to kluczowy składnik usług ACS, który umożliwia programowe zarządzanie ustawieniami i konfigurowanie ich w przestrzeni nazw Access Control. Konto usługi ZARZĄDZANIA USŁUGą ACS może używać kluczy symetrycznych, haseł i certyfikatów X.509. Jeśli te poświadczenia wygasły, usługa ACS zgłasza następujące wyjątki.

Poświadczenie Kod błędu Komunikat Środek

Klucz symetryczny lub hasło

ACS50006

Weryfikacja podpisu nie powiodła się. (W wiadomości może być więcej szczegółów).

Certyfikat X.509

ACS50016

X509Certificate z podmiotem "<Nazwa> podmiotu certyfikatu" i odciskiem> palca "<Odcisk palca certyfikatu" nie jest zgodny z żadnym skonfigurowanym certyfikatem.

Upewnij się, że żądany certyfikat został przekazany do usługi ACS.

Lista poświadczeń konta usługi zarządzania ACS jest wyświetlana na stronie Edytuj konto usługi zarządzania w portalu zarządzania ACS.

  1. Przejdź do strony Usługi zarządzania w portalu zarządzania ACS.

  2. Wybierz konto usługi zarządzania.

  3. Wybierz poświadczenia, klucze symetryczne, hasła lub certyfikat X.509 ze stanem Wygasłe lub Prawie wygasłe.

  4. W przypadku klucza symetrycznego wprowadź lub wygeneruj nowy klucz i wprowadź daty obowiązujące i wygasania . Kliknij pozycję Zapisz.

  5. W przypadku hasła wprowadź nowe hasło i wprowadź obowiązujące i wygasanie dat. Kliknij pozycję Zapisz.

  6. W przypadku certyfikatu X.509 wprowadź lub przejdź do nowego certyfikatu, a następnie kliknij przycisk Zapisz.

certyfikat dostawcy tożsamości WS-Federation

Dokument metadanych federacji dla dostawcy tożsamości WS-Federation zawiera odcisk palca identyfikujący certyfikat X.509 używany do podpisywania tokenów dla dostawcy identyfikacji.

Aby określić, czy certyfikat dostawcy tożsamości WS-Federation mieści się w zakresie dat obowiązujących, użyj usługi zarządzania ACS lub portalu zarządzania ACS.

Aby użyć portalu zarządzania ACS:

  1. Zaloguj się do portalu https://manage.WindowsAzure.comzarządzania Azure .

  2. Wybierz Access Control przestrzeni nazw, a następnie kliknij pozycję Zarządzaj. (Lub kliknij pozycję Access Control Przestrzenie nazw, wybierz przestrzeń nazw Access Control, a następnie kliknij przycisk Zarządzaj.

  3. W portalu zarządzania acS kliknij pozycję Dostawcy tożsamości , a następnie wybierz dostawcę tożsamości WS-Federation.

  4. W sekcji Token Signing Certificates (Certyfikaty podpisywania tokenu ) wyświetl daty wejścia w życie i stan certyfikatu dostawcy tożsamości WS-Federation.

  5. Jeśli stan certyfikatu to Wygasła lub Prawie wygasła, sprawdź, czy dostawca tożsamości WS-Federation (AD FS lub niestandardowy dostawca tożsamości) dodał pomocniczy certyfikat podpisywania.

    Jeśli użyto adresu URL do zidentyfikowania metadanych federacji dla dostawcy tożsamości WS-Federation, wybierz pozycję Ponownie zaimportuj dane z adresu URL metadanych WS-Federation po zapisaniu , a następnie kliknij przycisk Zapisz. Jeśli metadane WS-Federation zostały przekazane jako plik lokalny, przekaż ponownie nowy plik metadanych WS-Federation, a następnie kliknij przycisk Zapisz.

Jeśli usługa ACS odbiera token od dostawcy tożsamości podpisanego przy użyciu wygasłego lub nieznanego certyfikatu, usługa ACS zgłasza następujące wyjątki.

Kod błędu Komunikat

ACS10001

Wystąpił błąd podczas przetwarzania nagłówka SOAP.

ACS20001

Wystąpił błąd podczas przetwarzania WS-Federation odpowiedzi logowania.

ACS50006

Weryfikacja podpisu nie powiodła się. (W wiadomości może być więcej szczegółów).

Zobacz też

Zadania

Przykład kodu: zarządzanie kluczami

Pojęcia

Kody błędów usługi ACS
Indeks wytycznych usługi ACS
Usługa zarządzania usługą ACS
Certyfikaty i klucze
Instrukcje: dodawanie tożsamości usługi przy użyciu certyfikatu X.509, hasła lub klucza symetrycznego
Aplikacje jednostek uzależnionych
Tożsamości usług