<knownCertificates> 的 <add>

將 X.509 憑證加入至已知憑證的集合。

<configuration>
  <system.serviceModel>
    <behaviors>
      <serviceBehaviors>
        <behavior>
          <serviceCredentials>
            <issuedTokenAuthentication>
              <knownCertificates>
                <add>

Syntax

<knownCertificates>
   <add findValue="String"
      storeLocation="CurrentUser/LocalMachine"
      storeName="AddressBook/AuthRoot/CertificateAuthority/Disallowed/My/Root/TrustedPeople/TrustedPublisher"
      x509FindType="FindByThumbprint/FindBySubjectName/FindBySubjectDistinguishedName/FindByIssuerName/FindByIssuerDistinguishedName/FindBySerialNumber/FindByTimeValid/FindByTimeNotYetValid/FindBySerialNumber/FindByTimeExpired/FindByTemplateName/FindByApplicationPolicy/FindByCertificatePolicy/FindByExtension/FindByKeyUsage/FindBySubjectKeyIdentifier"/>
</knownCertificates>

屬性和項目

下列章節說明屬性、子元素和父元素。

屬性

屬性	描述
findValue	字串。 要搜尋的值。
storeLocation	列舉。 搜尋兩個存放位置中的一個。
storeName	列舉。 搜尋的其中一個系統存放區。
x509FindType	列舉。 要搜尋的其中一個憑證欄位。

findValue 屬性

值	描述
String	這個值取決於要搜尋的欄位 (由 X509FindType 屬性指定)。 例如，如果搜尋指紋，則此值必須是十六進位數字字串。

x509FindType 屬性

值	描述
列舉型別	值包括：FindByThumbprint、FindBySubjectName、FindBySubjectDistinguishedName、FindByIssuerName、FindByIssuerDistinguishedName、FindBySerialNumber、FindByTimeValid、FindByTimeNotYetValid、FindBySerialNumber、FindByTimeExpired、FindByTemplateName、FindByApplicationPolicy、FindByCertificatePolicy、FindByExtension、FindByKeyUsage、FindBySubjectKeyIdentifier。

storeLocation 屬性

值	描述
列舉型別	CurrentUser 或 LocalMachine。

storeName 屬性

值	描述
列舉型別	值包括：AddressBook、AuthRoot、CertificateAuthority、Disallowed、My、Root、TrustedPeople 和 TrustedPublisher。

子元素

無。

父項目

元素	描述
<knownCertificates>	表示 X.509 憑證的集合，這些憑證是由安全性權杖服務 (STS) 提供的，可用來驗證安全性權杖。

備註

發行之權杖的情況有三個階段。 在第一個階段中，用戶端會嘗試存取稱為「安全權杖服務」的服務。 此安全權杖服務接著會驗證用戶端，隨後並對用戶端發出權杖，通常是安全性判斷提示標記語言 (SAML) 權杖。 用戶端接著會以權杖傳回服務。 此服務會檢查資料的權杖，使服務能夠驗證權杖，因此也能夠驗證用戶端。 若要驗證權杖，安全權杖服務所使用的憑證必須讓服務知道。

<issuedTokenAuthentication> 元素是任何此類安全性權杖服務憑證的存放庫。 若要新增憑證，請使用 <knownCertificates>。 為每個憑證插入 <add> element <knownCertificates> 元素，如下列範例所示。

<issuedTokenAuthentication>
  <knownCertificates>
    <add findValue="www.contoso.com"
         storeLocation="LocalMachine"
         storeName="My"
         X509FindType="FindBySubjectName" />
  </knownCertificates>
</issuedTokenAuthentication>

根據預設，必須從安全權杖服務取得憑證。 這些「已知的」憑證可確保只有合法的用戶端可以存取服務。

若要檢閱由同盟服務驗證的用戶端必需條件，以及使用此組態元素時的詳細資訊，請參閱如何設定同盟服務的認證。 如需同盟案例的詳細資訊，請參閱同盟和發行的權杖。

範例

下列範例會將憑證加入至任何 STS 憑證的儲存機制。

<serviceBehaviors>
  <behavior name="myServiceBehavior">
    <serviceCredentials>
      <issuedTokenAuthentication>
        <knownCertificates>
          <add findValue="www.contoso.com"
               storeLocation="LocalMachine"
               storeName="CertificateAuthority"
               x509FindType="FindByIssuerName" />
        </knownCertificates>
      </issuedTokenAuthentication>
    </serviceCredentials>
  </behavior>
</serviceBehaviors>

另請參閱

• SamlSecurityTokenAuthenticator
• AllowedAudienceUris
• AudienceUriMode
• KnownCertificates
• X509CertificateTrustedIssuerElementCollection
• X509CertificateTrustedIssuerElement
• KnownCertificates
• <knownCertificates>
• 使用憑證
• 聯合與發行的權杖
• 作法：設定同盟服務的認證
• 確保服務與用戶端的安全