Dela via

Riktlinjer för hantering av certifikat och nycklar

  • Artikel

Gäller för

  • Microsoft Azure Active Directory Access Control (även kallat Access Control Service eller ACS)

Sammanfattning

Det här avsnittet beskriver riktlinjerna för att använda certifikat och nycklar i ACS. Eftersom certifikat och nycklar går ut avsiktligt är det viktigt att spåra förfallodatumen och vidta lämpliga åtgärder före förfallodatumet så att program som använder ACS fortsätter att fungera korrekt utan avbrott.

Viktigt

Spåra förfallodatum och förnya certifikat, nycklar och lösenord som används av Access Control namnrymd, förlitande partprogram, tjänstidentiteter och ACS Management Service-kontot.

Mål

  • Ange de certifikat och nycklar som måste spåras för förfallodatum

  • Beskriva förnyelseprocedurerna för certifikaten och nycklarna

    Viktigt

    Se avsnittet om certifikat, autentiseringsuppgifter eller nyckel i det här avsnittet för felmeddelanden och förnyelseprocess.

Översikt

Eftersom certifikaten garanterat upphör att gälla är det bra att ladda upp ett nytt certifikat i god tid innan det aktuella certifikatet upphör att gälla. De övergripande steg som bör ingå är följande:

  • Upload ett nytt sekundärt certifikat.

  • Meddela de partner som använder tjänsten för den kommande ändringen. Partner bör uppdatera sin certifikatkonfiguration för sina förlitande parter (till exempel ett tumavtryck av certifikatet som konfigurerats i web.config under noden trustedIssuers i en ASP.NET webbapp)

  • Växla signering till det nya certifikatet (markera det som primärt) och lämna det föregående på plats under en rimlig respitperiod.

  • När respitperioden är slut tar du bort det gamla certifikatet. 

När ett certifikat eller en nyckel upphör att gälla misslyckas ACS försök att utfärda token och det förlitande partprogrammet kan inte fungera korrekt. ACS ignorerar utgångna certifikat och nycklar, vilket resulterar i samma undantag som utlöses om inget certifikat eller nyckel någonsin har konfigurerats.

Följande avsnitt innehåller information om hur du hanterar certifikat och nycklar som ACS använder, hur du förnyar dem och hur du identifierar certifikat och nycklar som snart upphör att gälla eller har upphört att gälla.

  • Om du vill hantera certifikat och nycklar för Access Control namnrymder och förlitande partprogram använder du sidan Certifikat och nycklar i ACS-hanteringsportalen. Mer information om dessa typer av autentiseringsuppgifter finns i Certifikat och nycklar.

  • Om du vill hantera autentiseringsuppgifter (certifikat, nycklar eller lösenord) för tjänstidentiteter använder du sidan Tjänstidentiteter i ACS-hanteringsportalen. Mer information om tjänstidentiteter finns i Tjänstidentiteter.

  • Om du vill hantera autentiseringsuppgifter (certifikat, nycklar eller lösenord) för ACS Management Service-konton använder du sidan Hanteringstjänst i ACS-hanteringsportalen. Mer information om ACS Management Service finns i ACS Management Service.

  • Om du vill hantera certifikat för WS-Federation identitetsprovidrar, till exempel AD FS 2.0, använder du sidan Identitetsprovidrar i ACS-hanteringsportalen. Mer information finns i WS-Federation identitetsprovidercertifikat och WS-Federation Identity Providers.

    Om du vill visa och uppdatera WS-Federation certifikat och nycklar för identitetsprovidern programmatiskt använder du ACS-hanteringstjänsten. Kontrollera gällande datum för ett certifikat genom att fråga värdena för egenskaperna StartDate och EndDate för entiteten IdentityProviderKey . Mer information finns i KeyManagement-kodexemplet Kodexempel: Nyckelhantering.

När du begär en token som har signerats av ett utgånget certifikat eller en nyckel genererar ACS undantag som har ACS-felkoder som är specifika för certifikatet eller nyckeln. Se avsnitten nedan för specifika felkoder.

Tillgängliga certifikat och nycklar

I följande lista visas tillgängliga certifikat och nycklar som används i ACS och som måste spåras för förfallodatum:

Viktigt

Se avsnittet om certifikat, autentiseringsuppgifter eller nyckel i det här avsnittet för felmeddelanden och förnyelseprocess.

  • Certifikat för tokensignering

  • Tokensigneringsnycklar

  • Tokenkrypteringscertifikat

  • Tokendekrypteringscertifikat

  • Autentiseringsuppgifter för tjänstidentitet

  • Kontoautentiseringsuppgifter för ACS Management Service

  • WS-Federation signerings- och krypteringscertifikat för identitetsprovider

Resten av det här avsnittet beskriver varje certifikat och nyckel i detalj.

Certifikat för tokensignering

ACS signerar alla säkerhetstoken som det har problem med. Den använder X.509-certifikat för att signera SAML-token för program.

När ett signeringscertifikat har upphört att gälla returnerar ACS följande fel när du begär en token:

Felkod Meddelande Lösning

ACS50004

Inget primärt X.509-signeringscertifikat har konfigurerats. Ett signeringscertifikat krävs för SAML.

Om den valda förlitande parten använder SAML-token kontrollerar du att ett giltigt X.509-certifikat har konfigurerats för den förlitande parten eller Access Control namnområdet. Certifikatet måste vara inställt på primärt och får inte ha upphört att gälla.

Så här förnyar du ett signeringscertifikat:

  1. Gå till Microsoft Azure Management Portal (https://manage.WindowsAzure.com), logga in och klicka sedan på Active Directory. (Felsökningstips: "Active Directory"-objektet saknas eller är inte tillgängligt)

  2. Om du vill hantera ett Access Control namnområde väljer du namnområdet och klickar sedan på Hantera. (Eller klicka på Access Control Namnområden, välj namnområdet och klicka sedan på Hantera.)

  3. Klicka på Certifikat och nycklar.

  4. Välj ett certifikat med statusen Nästan upphört att gälla eller Har upphört att gälla.

    Anteckning

    I avsnittet Certifikat och nycklar är certifikat och nycklar för Access Control namnområde märkta tjänstnamnområde.

  5. Ange eller generera ett certifikat efter behov.

  6. Uppdatera giltighets- och förfallodatum .

  7. Klicka på Spara för att slutföra.

Tokensigneringsnyckel

ACS signerar alla säkerhetstoken som det har problem med. ACS använder 256-bitars symmetriska signeringsnycklar för program som använder SWT-token som utfärdats av ACS.

När signeringsnycklar upphör att gälla returnerar ACS följande fel när du begär en token:

Felkod Meddelande Lösning

ACS50003

Ingen primär symmetrisk signeringsnyckel har konfigurerats. En symmetrisk signeringsnyckel krävs för SWT.

Om den valda förlitande parten använder SWT som sin tokentyp kontrollerar du att en symmetrisk nyckel har konfigurerats för den förlitande parten eller Access Control namnområdet och att nyckeln är inställd på primär och inte har upphört att gälla.

Så här förnyar du en signeringsnyckel:

  1. Gå till Microsoft Azure Management Portal (https://manage.WindowsAzure.com), logga in och klicka sedan på Active Directory. (Felsökningstips: "Active Directory"-objektet saknas eller är inte tillgängligt)

  2. Om du vill hantera ett Access Control namnområde väljer du namnområdet och klickar sedan på Hantera. (Eller klicka på Access Control Namnområden, välj namnområdet och klicka sedan på Hantera.)

  3. Klicka på Certifikat och nycklar.

  4. Välj en nyckel med statusen Nästan förfallen eller Förfallen.

    Anteckning

    I avsnittet Certifikat och nycklar är certifikat och nycklar för Access Control namnområde märkta tjänstnamnområde.

  5. Ange eller generera en nyckel efter behov.

  6. Uppdatera giltighets- och förfallodatum .

  7. Klicka på Spara för att slutföra.

Tokenkrypteringscertifikat

Tokenkryptering krävs när ett förlitande partprogram är en webbtjänst som använder token för innehav av bevis över WS-Trust protokollet. I andra fall är tokenkryptering valfritt.

När krypteringscertifikat upphör att gälla returnerar ACS följande fel när du begär en token:

Felkod Meddelande Lösning

ACS50005

Tokenkryptering krävs men inget krypteringscertifikat har konfigurerats för den förlitande parten.

Inaktivera tokenkryptering för den valda förlitande parten eller ladda upp ett X.509-certifikat som ska användas för tokenkryptering.

Så här förnyar du ett krypteringscertifikat:

  1. Gå till Microsoft Azure Management Portal (https://manage.WindowsAzure.com), logga in och klicka sedan på Active Directory. (Felsökningstips: "Active Directory"-objektet saknas eller är inte tillgängligt)

  2. Om du vill hantera ett Access Control namnområde väljer du namnområdet och klickar sedan på Hantera. (Eller klicka på Access Control Namnområden, välj namnområdet och klicka sedan på Hantera.)

  3. Klicka på Certifikat och nycklar.

  4. Välj ett certifikat med statusen Nästan upphört att gälla eller Har upphört att gälla.

    Anteckning

    I avsnittet Certifikat och nycklar är certifikat och nycklar för Access Control namnområde märkta tjänstnamnområde.

  5. Ange eller bläddra till den nya certifikatfilen och ange sedan lösenordet för filen.

  6. Klicka på Spara för att slutföra.

Tokendekrypteringscertifikat

ACS kan acceptera krypterade token från WS-Federation identitetsprovidrar, till exempel AD FS 2.0. ACS använder ett X.509-certifikat som finns i ACS för dekryptering.

När dekrypteringscertifikat upphör att gälla returnerar ACS följande fel när du begär en token:

Felkod Meddelande

ACS10001

Ett fel uppstod när SOAP-huvudet bearbetades.

ACS20001

Ett fel uppstod när ett WS-Federation inloggningssvar bearbetades.

Så här förnyar du ett dekrypteringscertifikat:

  1. Gå till Microsoft Azure Management Portal (https://manage.WindowsAzure.com), logga in och klicka sedan på Active Directory. (Felsökningstips: "Active Directory"-objektet saknas eller är inte tillgängligt)

  2. Om du vill hantera ett Access Control namnområde väljer du namnområdet och klickar sedan på Hantera. (Eller klicka på Access Control Namnområden, välj namnområdet och klicka sedan på Hantera.)

  3. Klicka på Certifikat och nycklar.

  4. Använd avsnittet Certifikat och nycklar i ACS-hanteringsportalen för att hantera certifikat eller nycklar relaterade till Access Control namnområden och förlitande partprogram.

  5. Välj ett certifikat med statusen Nästan upphört att gälla eller Har upphört att gälla.

    Anteckning

    I avsnittet Certifikat och nycklar är certifikat och nycklar för Access Control namnområde märkta tjänstnamnområde.

  6. Ange eller bläddra till den nya certifikatfilen och ange sedan lösenordet för filen.

  7. Klicka på Spara för att slutföra.

Autentiseringsuppgifter för tjänstidentitet

Tjänstidentiteter är autentiseringsuppgifter som konfigureras globalt för Access Control namnområde. De tillåter program eller klienter att autentisera direkt med ACS och ta emot en token. En ACS-tjänstidentitet kan användas med symmetriska nycklar, lösenord och X.509-certifikat. ACS utlöser följande undantag när autentiseringsuppgifterna har upphört att gälla.

Autentiseringsuppgift Felkod Meddelande Lösning

Symmetrisk nyckel, lösenord

ACS50006

Signaturverifieringen misslyckades. (M-information finns i meddelandet.)

X.509-certifikat

ACS50016

X509Certifikat med ämnesnamnet certifikatmottagare<> och tumavtrycket "<Certifikattumavtryck>" matchar inte något konfigurerat certifikat.

Kontrollera att det begärda certifikatet har laddats upp till ACS.

Om du vill verifiera och uppdatera förfallodatum för symmetriska nycklar eller lösenord eller ladda upp nya certifikat som autentiseringsuppgifter för tjänstidentitet följer du anvisningarna i Så här lägger du till tjänstidentiteter med ett X.509-certifikat, lösenord eller symmetrisk nyckel. Lista över autentiseringsuppgifter för tjänstidentiteter som är tillgängliga på sidan Redigera tjänstidentitet .

  1. Gå till sidan Tjänstidentiteter i ACS-hanteringsportalen.

  2. Välj en tjänstidentitet.

  3. Välj ett autentiseringsuppgifter, en symmetrisk nyckel, ett lösenord eller ett X.509-certifikat med statusen Förfallen eller Nästan upphörd .

  4. För en symmetrisk nyckel anger eller genererar du en ny nyckel och anger Giltighets- och Förfallodatum. Klicka på Spara.

  5. För ett lösenord anger du ett nytt lösenord och anger giltighets- och förfallodatum . Klicka på Spara.

  6. För ett X.509-certifikat anger eller bläddrar du till en ny certifikatfil och klickar sedan på Spara.

Autentiseringsuppgifter för hanteringstjänsten

ACS-hanteringstjänsten är en viktig komponent i ACS som gör att du programmatiskt kan hantera och konfigurera inställningar i ett Access Control namnområde. Ett ACS Management Service-konto kan använda symmetriska nycklar, lösenord och X.509-certifikat. Om dessa autentiseringsuppgifter har upphört att gälla utlöser ACS följande undantag.

Autentiseringsuppgift Felkod Meddelande Lösning

Symmetrisk nyckel eller lösenord

ACS50006

Signaturverifieringen misslyckades. (Det kan finnas mer information i meddelandet.)

X.509-certifikat

ACS50016

X509Certifikat med ämnesnamnet certifikatmottagare<> och tumavtrycket "<Certifikattumavtryck>" matchar inte något konfigurerat certifikat.

Kontrollera att det begärda certifikatet har laddats upp till ACS.

Listan över autentiseringsuppgifterna för ACS Management Service-kontot visas på sidan Redigera hanteringstjänstkonto i ACS-hanteringsportalen.

  1. Gå till sidan Hanteringstjänst i ACS-hanteringsportalen.

  2. Välj ett hanteringstjänstkonto.

  3. Välj autentiseringsuppgifter, symmetriska nycklar, lösenord eller X.509-certifikat med statusen Förfallen eller Nästan förfallen.

  4. För en symmetrisk nyckel anger eller genererar du en ny nyckel och anger giltighets- och förfallodatum. Klicka på Spara.

  5. För ett lösenord anger du ett nytt lösenord och anger giltighets- och förfallodatum . Klicka på Spara.

  6. För ett X.509-certifikat anger eller bläddrar du till ett nytt certifikat och klickar sedan på Spara.

WS-Federation identitetsprovidercertifikat

Federationsmetadatadokumentet för en WS-Federation identitetsprovider innehåller ett tumavtryck som identifierar X.509-certifikatet som används för att signera token för identifieringsprovidern.

Om du vill avgöra om ett WS-Federation identitetsprovidercertifikat ligger inom intervallet för gällande datum använder du ACS-hanteringstjänsten eller ACS-hanteringsportalen.

Så här använder du ACS-hanteringsportalen:

  1. Logga in på Azure Management Portal https://manage.WindowsAzure.com.

  2. Välj ett Access Control namnområde och klicka sedan på Hantera. (Eller klicka på Access Control namnområden, välj ett Access Control namnområde och klicka sedan på Hantera.

  3. I ACS-hanteringsportalen klickar du på Identitetsprovidrar och väljer sedan en WS-Federation identitetsprovider.

  4. I avsnittet Tokensigneringscertifikat visar du gällande datum och status för WS-Federation identitetsprovidercertifikat.

  5. Om certifikatstatusen har upphört att gälla eller nästan har upphört att gälla kontrollerar du att WS-Federation-identitetsprovidern (AD FS eller en anpassad identitetsprovider) har lagt till ett sekundärt signeringscertifikat.

    Om du använde en URL för att identifiera federationsmetadata för WS-Federation identitetsprovider väljer du Importera data igen från WS-Federation metadata-URL när du sparar och klickar sedan på Spara. Om du har laddat upp WS-Federation metadata som en lokal fil laddar du upp den nya WS-Federation metadatafilen igen och klickar sedan på Spara.

Om ACS tar emot en token från en identitetsprovider som är signerad med ett utgånget eller okänt certifikat genererar ACS följande undantag.

Felkod Meddelande

ACS10001

Ett fel uppstod när SOAP-huvudet bearbetades.

ACS20001

Ett fel uppstod när ett WS-Federation inloggningssvar bearbetades.

ACS50006

Signaturverifieringen misslyckades. (Det kan finnas mer information i meddelandet.)

Se även

Uppgifter

Kodexempel: Nyckelhantering

Begrepp

ACS-felkoder
INDEX för ACS-riktlinjer
ACS-hanteringstjänst
Certifikat och nycklar
Anvisningar: Lägga till tjänstidentiteter med ett X.509-certifikat, lösenord eller symmetrisk nyckel
Program från förlitande part
Tjänstidentiteter