Partilhar via

Diretrizes de Gestão de Certificados e Chaves

  • Artigo

Aplica-se A

  • Microsoft Azure Ative Directory Controlo de Acesso (também conhecido como serviço de Controlo de Acesso ou ACS)

Resumo

Este tópico descreve as diretrizes para a utilização de certificados e chaves em ACS. Como os certificados e chaves expiram por conceção, é importante acompanhar as datas de validade e tomar as medidas adequadas antes da expiração para que as aplicações que utilizam ACS continuem a funcionar corretamente sem interrupção.

Importante

Acompanhe a caducidade e renova os certificados, chaves e senhas utilizados pelo espaço de nome Controlo de Acesso, contando com aplicações partidárias, identidades de serviço e conta do Serviço de Gestão ACS.

Objetivos

  • Listar os certificados e chaves que devem ser rastreados para datas de validade

  • Delinear os procedimentos de renovação dos certificados e chaves

    Importante

    Consulte o certificado específico, credencial ou secção chave neste tópico para mensagens de erro e processo de renovação.

Descrição Geral

Uma vez que os certificados estão garantidos para expirar, é uma boa prática carregar um novo certificado bem antes da expiração do certificado atual. Os passos de alto nível que devem ser envolvidos são os seguintes:

  • Faça o upload de um novo certificado secundário.

  • Notifique os parceiros que usam o serviço da próxima alteração. Os parceiros devem atualizar a sua configuração de certificado para as suas partes dependentes (por exemplo, uma impressão digital do certificado configurado em web.config no nó de fidedignos numa aplicação web ASP.NET)

  • Mude a assinatura para o novo certificado (marque-o principal) deixando o anterior no lugar por um período de carência razoável.

  • Após o fim do período de carência, retire o certificado antigo. 

Quando um certificado ou uma chave expira, as tentativas da ACS de emitir fichas falham e a aplicação da parte que conta não pode funcionar corretamente. A ACS ignora os certificados e chaves caducados, resultando nas mesmas exceções que seriam lançadas se nenhum certificado ou chave fosse configurado.

As secções seguintes fornecem informações sobre a gestão de certificados e chaves que a ACS utiliza, como renová-los e como identificar certificados e chaves que estão perto de expirar ou que expiraram.

  • Para gerir certificados e chaves para Controlo de Acesso espaços de nome e aplicações de partes dependentes, utilize a página certificados e chaves do Portal de Gestão acs. Para obter mais informações sobre estes tipos de credenciais, consulte Certificados e Chaves.

  • Para gerir credenciais (certificados, chaves ou palavras-passe) de identidades de serviço, utilize a página de identidades de Serviço do Portal de Gestão acs. Para obter mais informações sobre identidades de serviço, consulte Identidades de Serviço.

  • Para gerir credenciais (certificados, chaves ou palavras-passe) das contas do Serviço de Gestão ACS, utilize a página de Serviço de Gestão do Portal de Gestão acs. Para mais informações sobre o Serviço de Gestão ACS, consulte o Serviço de Gestão ACS.

  • Para gerir certificados para fornecedores de identidade WS-Federation, como a AD FS 2.0, utilize a página de fornecedores de Identidade no Portal de Gestão da ACS. Para mais informações, consulte WS-Federation certificado de fornecedor de identidade e Fornecedores de Identidade da WS-Federation.

    Para visualizar e atualizar WS-Federation certificados e chaves de fornecedor de identidade, utilize programáticamente o Serviço de Gestão ACS. Para verificar as datas efetivas de um certificado, consultar os valores das propriedades startDate e EndDate da entidade IdentityProviderKey . Para mais informações, descarregue a amostra de código KeyManagement, Code Sample: Key Management.

Quando solicita um token assinado por um certificado ou chave caducado, a ACS lança exceções que têm Códigos de Erro ACS específicos do certificado ou chave. Consulte as secções abaixo para obter códigos de erro específicos.

Certificados e chaves disponíveis

A lista a seguir apresenta os certificados e chaves disponíveis que são utilizados em ACS e devem ser rastreados para datas de validade:

Importante

Consulte o certificado específico, credencial ou secção chave neste tópico para mensagens de erro e processo de renovação.

  • Certificados de assinatura token

  • Chaves de assinatura token

  • Certificados de encriptação token

  • Certificados de desencriptação token

  • Credenciais de identidade de serviço

  • Credenciais de conta do Serviço de Gestão ACS

  • WS-Federation certificados de assinatura e encriptação do fornecedor de identidade

O resto deste tópico abrange cada certificado e chave em detalhe.

Certificados de assinatura token

ACS assina todos os símbolos de segurança que emite. Utiliza certificados X.509 para assinar fichas SAML para aplicações.

Quando um certificado de assinatura expirou, a ACS retorna os seguintes erros quando solicita um token:

Código de Erro Mensagem Remédio

ACS50004

Não está configurado nenhum certificado de assinatura X.509 primário. É necessário um certificado de assinatura para a SAML.

Se a parte de gestão escolhida utilizar fichas SAML, certifique-se de que um certificado X.509 válido é configurado para a parte de gestão ou para o espaço de nome Controlo de Acesso. O certificado deve ser definido como primário e não deve caducado.

Para renovar um certificado de assinatura:

  1. Vá ao Portal de Gestão Microsoft Azure (https://manage.WindowsAzure.com), inscreva-se e, em seguida, clique em Ative Directory. (Dica de resolução de problemas: o item "Ative Directory" está em falta ou não está disponível)

  2. Para gerir um Controlo de Acesso espaço de nome, selecione o espaço de nomes e, em seguida, clique em Gerir. (Ou, clique Controlo de Acesso Espaços de Nome, selecione o espaço de nomes e, em seguida, clique em Gerir.)

  3. Clique em Certificados e Chaves.

  4. Selecione um certificado com um estado de Quase expirado ou expirado.

    Nota

    Na secção Certificados e Chaves, os certificados e chaves para o Controlo de Acesso espaço de nome estão rotulados como Espaço de Nome de Serviço.

  5. Introduza ou gere um certificado conforme necessário.

  6. Atualizar as datas de edição e validade .

  7. Clique em Guardar para completar.

Chave de assinatura token

ACS assina todos os símbolos de segurança que emite. A ACS utiliza chaves de assinatura simétricas de 256 bits para aplicações que consomem fichas SWT emitidas pela ACS.

Ao assinar as chaves expiradas, a ACS devolve os seguintes erros quando solicita um token:

Código de Erro Mensagem Remédio

ACS50003

Nenhuma chave de assinatura simétrica primária está configurada. É necessária uma chave de sinalização simétrica para a SWT.

Se a parte de gestão escolhida utilizar o SWT como o seu tipo simbólico, certifique-se de que uma chave simétrica está configurada para a parte de gestão ou para o espaço de nome Controlo de Acesso, e que a chave está definida para primária e não está caducada.

Para renovar uma chave de assinatura:

  1. Vá ao Portal de Gestão Microsoft Azure (https://manage.WindowsAzure.com), inscreva-se e, em seguida, clique em Ative Directory. (Dica de resolução de problemas: o item "Ative Directory" está em falta ou não está disponível)

  2. Para gerir um Controlo de Acesso espaço de nome, selecione o espaço de nomes e, em seguida, clique em Gerir. (Ou, clique Controlo de Acesso Espaços de Nome, selecione o espaço de nomes e, em seguida, clique em Gerir.)

  3. Clique em Certificados e Chaves.

  4. Selecione uma chave com um estado de Quase expirado ou expirado.

    Nota

    Na secção Certificados e Chaves, os certificados e chaves para o Controlo de Acesso espaço de nome estão rotulados como Espaço de Nome de Serviço.

  5. Introduza ou gere uma chave conforme necessário.

  6. Atualizar as datas de edição e validade .

  7. Clique em Guardar para completar.

Certificados de encriptação token

A encriptação token é necessária quando uma aplicação de parte de gestão é um serviço web que usa tokens de prova de posse ao longo do protocolo WS-Trust. Noutros casos, a encriptação simbólica é opcional.

Quando os certificados de encriptação expiram, o ACS retorna os seguintes erros quando solicita um token:

Código de Erro Mensagem Remédio

ACS50005

A encriptação token é necessária, mas nenhum certificado de encriptação está configurado para a parte que conta.

Desative a encriptação simbólica para a parte de recurso escolhida ou carrequiva um certificado X.509 para ser usado para encriptação simbólica.

Para renovar um certificado de encriptação:

  1. Vá ao Portal de Gestão Microsoft Azure (https://manage.WindowsAzure.com), inscreva-se e, em seguida, clique em Ative Directory. (Dica de resolução de problemas: o item "Ative Directory" está em falta ou não está disponível)

  2. Para gerir um Controlo de Acesso espaço de nome, selecione o espaço de nomes e, em seguida, clique em Gerir. (Ou, clique Controlo de Acesso Espaços de Nome, selecione o espaço de nomes e, em seguida, clique em Gerir.)

  3. Clique em Certificados e Chaves.

  4. Selecione um certificado com um estado de Quase expirado ou expirado.

    Nota

    Na secção Certificados e Chaves, os certificados e chaves para o Controlo de Acesso espaço de nome estão rotulados como Espaço de Nome de Serviço.

  5. Introduza ou navegue no novo ficheiro de certificado e, em seguida, introduza a palavra-passe para esse ficheiro.

  6. Clique em Guardar para completar.

Certificados de desencriptação token

O ACS pode aceitar fichas encriptadas de fornecedores de identidade WS-Federation, como a AD FS 2.0. O ACS utiliza um certificado X.509 alojado em ACS para desencriptação.

Quando os certificados de desencriptação expiram, a ACS retorna os seguintes erros quando solicita um token:

Código de Erro Mensagem

ACS10001

Ocorreu um erro durante o processamento do cabeçalho SOAP.

ACS20001

Ocorreu um erro durante o processamento de uma resposta de WS-Federation de inscrição.

Para renovar um certificado de desencriptação:

  1. Vá ao Portal de Gestão Microsoft Azure (https://manage.WindowsAzure.com), inscreva-se e, em seguida, clique em Ative Directory. (Dica de resolução de problemas: o item "Ative Directory" está em falta ou não está disponível)

  2. Para gerir um Controlo de Acesso espaço de nome, selecione o espaço de nomes e, em seguida, clique em Gerir. (Ou, clique Controlo de Acesso Espaços de Nome, selecione o espaço de nomes e, em seguida, clique em Gerir.)

  3. Clique em Certificados e Chaves.

  4. Utilize a secção certificados e chaves no Portal de Gestão acs para gerir certificados ou chaves relacionadas com Controlo de Acesso espaços de nome e aplicações de partes em formação.

  5. Selecione um certificado com um estado de Quase expirado ou expirado.

    Nota

    Na secção Certificados e Chaves, os certificados e chaves para o Controlo de Acesso espaço de nome estão rotulados como Espaço de Nome de Serviço.

  6. Introduza ou navegue no novo ficheiro de certificado e introduza a palavra-passe para esse ficheiro.

  7. Clique em Guardar para completar.

Credenciais de identidade de serviço

As identidades de serviço são credenciais que são configuradas globalmente para o Controlo de Acesso espaço de nome. Permitem que as aplicações ou clientes autentem diretamente com a ACS e recebam um token. Uma identidade de serviço ACS pode ser usada chaves simétricas, senhas e certificados X.509. A ACS lança as seguintes exceções quando as credenciais são expiradas.

Credencial Código de Erro Mensagem Remédio

Chave simétrica, senha

ACS50006

A verificação da assinatura falhou. (M Detalhes estão na mensagem.)

Certificado X.509

ACS50016

X509Certificado com o tema '<Nome> do sujeito do certificado' e impressão digital em polegar '<Impressão digital> do certificado' não corresponde a nenhum certificado configurado.

Certifique-se de que o certificado solicitado foi enviado para a ACS.

Para verificar e atualizar as datas de validade das chaves ou palavra-passe simétricas, ou para carregar novo certificado como credenciais de identidade de serviço, siga as instruções descritas em Como: Adicionar identidades de serviço com um Certificado, Senha ou Chave Simétrica X.509. Lista de credenciais de identidade de serviço disponíveis na página 'Identidade de Serviço de Edição '.

  1. Aceda à página de identidades do Serviço no Portal de Gestão da ACS.

  2. Selecione uma identidade de serviço.

  3. Selecione um certificado credencial, simétrico, senha ou X.509 com um estado expirado ou quase expirado .

  4. Para uma chave simétrica, introduza ou gere uma nova chave e introduza datas de Eficácia e Expiração . Clique em Guardar.

  5. Para uma palavra-passe, introduza uma nova palavra-passe e introduza datas devalidade e de validade . Clique em Guardar.

  6. Para um certificado X.509, insira ou navegue num novo ficheiro de certificado e, em seguida, clique em Guardar.

Credenciais de Serviço de Gestão

O AcS Management Service é um componente chave do ACS que lhe permite gerir e configurar programáticamente as definições num espaço de nome Controlo de Acesso. Uma conta ACS Management Service pode usar chaves simétricas, senhas e certificados X.509. Se estas credenciais forem caducadas, a ACS lança as seguintes exceções.

Credencial Código de Erro Mensagem Remédio

Chave simétrica ou senha

ACS50006

A verificação da assinatura falhou. (Pode haver mais detalhes na mensagem.)

Certificado X.509

ACS50016

X509Certificado com o tema '<Nome> do sujeito do certificado' e impressão digital em polegar '<Impressão digital> do certificado' não corresponde a nenhum certificado configurado.

Certifique-se de que o certificado solicitado foi enviado para a ACS.

A lista das credenciais de conta do Serviço de Gestão ACS é apresentada na página conta de serviço de gestão de edição no Portal de Gestão acs.

  1. Aceda à página de serviço de Gestão no Portal de Gestão da ACS.

  2. Selecione uma conta de serviço de gestão.

  3. Selecione credenciais, chaves simétricas, senhas ou certificado X.509 com um estado de expiração expirada ou quase expirada.

  4. Para uma chave simétrica, introduza ou gere uma nova chave e introduza datas de Eficácia e Expiração . Clique em Guardar.

  5. Para uma palavra-passe, introduza uma nova palavra-passe e introduza datas devalidade e de validade . Clique em Guardar.

  6. Para obter um certificado X.509, insira ou navegue num novo certificado e, em seguida, clique em Guardar.

WS-Federation certificado de fornecedor de identidade

O documento de metadados da federação para um fornecedor de identidade WS-Federation inclui uma impressão digital que identifica o certificado X.509 que é usado para assinar fichas para o fornecedor de identificação.

Para determinar se um certificado de WS-Federation fornecedor de identidade está dentro do alcance das suas datas efetivas, utilize o Serviço de Gestão ACS ou o Portal de Gestão acs.

Para utilizar o Portal de Gestão ACS:

  1. Faça login no Portal https://manage.WindowsAzure.comde Gestão Azure .

  2. Selecione um Controlo de Acesso espaço de nome e, em seguida, clique em Gerir. (Ou, clique Controlo de Acesso Espaços de Nome, selecione um espaço de nome Controlo de Acesso e, em seguida, clique em Gerir.

  3. No Portal de Gestão acs, clique em Fornecedores de Identidade e, em seguida, selecione um fornecedor de identidade WS-Federation.

  4. Na secção Token Signing Certificates , consulte as datas e o estado efetivo do certificado de fornecedor de identidade WS-Federation.

  5. Se o estatuto de certificado estiver expirado ou quase expirado, verifique se o WS-Federation fornecedor de identidade (AD FS ou um fornecedor de identidade personalizado) adicionou um certificado de assinatura secundária.

    Se utilizou um URL para identificar os metadados da federação para o fornecedor de identidade WS-Federation, selecione os dados do Reimport a partir de WS-Federation URL de metadados após a sua guarda e, em seguida, clique em Guardar. Se carregou os metadados WS-Federation como um ficheiro local, faça o upload do novo ficheiro de metadados WS-Federation novamente e, em seguida, clique em Guardar.

Se a ACS receber um símbolo de um fornecedor de identidade assinado com um certificado caducado ou desconhecido, a ACS lança as seguintes exceções.

Código de Erro Mensagem

ACS10001

Ocorreu um erro durante o processamento do cabeçalho SOAP.

ACS20001

Ocorreu um erro durante o processamento de uma resposta de WS-Federation de inscrição.

ACS50006

A verificação da assinatura falhou. (Pode haver mais detalhes na mensagem.)

Consulte também

Tarefas

Amostra de código: Gestão de Chaves

Conceitos

Códigos de erro ACS
Índice de Orientações ACS
Serviço de Gestão ACS
Certificados e Chaves
Como: Adicionar identidades de serviço com um Certificado X.509, Palavra-Passe ou Chave Simétrica
Aplicações de partidos de gestão
Identidades de serviço