Sdílet prostřednictvím

Certifikáty a klíče

  • Článek

Aktualizováno: 19. června 2015

Platí pro: Azure

Microsoft Azure Active Directory Access Control (označované také jako služba Access Control service nebo ACS) nabízí dva různé způsoby podepisování a šifrování tokenů: certifikáty X.509 s privátním klíčem a 256bitovými symetrickými klíči. Každý certifikát nebo klíč můžete nakonfigurovat tak, aby podepisovali tokeny pro konkrétní aplikace předávající strany nebo pro všechny aplikace předávající strany v oboru názvů a určili jste certifikáty a klíče, které mají být primární nebo sekundární. K přidání a konfiguraci podpisových, šifrovacích a dešifračních certifikátů a klíčů tokenů použijte službu ACS Management Service nebo portál pro správu služby ACS.

Podpisové tokeny

Služba ACS podepíše všechny tokeny zabezpečení, které má problémy s certifikátem X.509 (s privátním klíčem) nebo 256bitovým symetrickým klíčem. Volba typu podpisových přihlašovacích údajů (certifikátu nebo klíče) závisí na formátu tokenu, který vyberete pro tokeny vydané službou ACS. Další informace najdete v tématu "Podepisování tokenů" v aplikacích předávající strany. Při výběru typu podpisových přihlašovacích údajů, které se mají vytvořit, zvažte následující:

  • Tokeny SAML jsou podepsané certifikáty X.509. SAML je výchozí formát tokenu používaný aplikacemi založenými na Windows Identity Foundation (WIF). Tokeny SAML se dají vydávat přes více protokolů, jako jsou WS-Federation a WS-Trust.

  • Tokeny SWT jsou podepsané 256bitovými symetrickými klíči. Tokeny SWT je možné vydávat přes více protokolů, jako je OAuth WRAP a WS-Federation.

  • Tokeny JWT můžou být podepsány certifikáty X.509 nebo 256bitovými symetrickými klíči. Tokeny JWT se dají vydávat prostřednictvím několika protokolů, jako je WS-Federation, WS-Trust a OAuth 2.0.

Obor názvů nebo vyhrazené certifikáty a klíče

Podpisový certifikát nebo symetrický klíč můžete nakonfigurovat tak, aby se používal pro celý obor názvů Access Control nebo jenom pro konkrétní aplikaci předávající strany v oboru názvů. Rozdíl je následující:

  • Access Control oboru názvů – pokud je podpisový certifikát nebo klíč nakonfigurovaný pro celý obor názvů Access Control, služba ACS používá certifikát nebo klíč k podepsání tokenů pro všechny aplikace předávající strany v tomto oboru názvů, které nemají certifikát nebo klíč specifický pro aplikaci. Certifikát s oborem názvů se také používá k podepisování metadat služby ACS WS-Federation.

  • Vyhrazené – Pokud nakonfigurujete podpisový certifikát nebo klíč pro použití pro konkrétní aplikaci předávající strany, služba ACS použije podpisový certifikát nebo klíč pouze k podepsání tokenů dodaných do zadané aplikace předávající strany.

    Pokud vytvoříte nebo zadáte vyhrazený symetrický klíč, služba ACS použije vyhrazený klíč k podepisování tokenů pro aplikaci. Pokud platnost vyhrazeného klíče vyprší a nenahradí se, služba ACS použije symetrický klíč pro Access Control obor názvů k podepisování tokenů pro aplikaci.

Poznámka

  • Osvědčeným postupem zabezpečení je vytvoření vyhrazeného klíče pro každou aplikaci předávající strany při použití symetrických klíčů. Certifikát X.509 může bezpečně sdílet více aplikací v oboru názvů Access Control.

  • Když přidáte aplikaci předávající strany spravovanou Microsoftem do spravovaného oboru názvů, jako je například přidání aplikace předávající strany Service Bus do Service Bus oboru názvů, nepoužívejte certifikáty ani klíče specifické pro aplikace. Místo toho vyberte možnost služby ACS, pokud chcete použít certifikáty a klíče nakonfigurované pro všechny aplikace ve spravovaném oboru názvů. Pro všechny ostatní aplikace předávající strany použijte certifikáty a klíče specifické pro aplikaci. Další informace najdete v tématu Spravované obory názvů.

  • Když nakonfigurujete aplikaci předávající strany, která používá certifikát X.509 pro Access Control obor názvů pro podepsání tokenů JWT, odkazy na certifikát oboru názvů Access Control a klíč oboru názvů Access Control se zobrazí na stránce aplikace předávající strany na portálu pro správu služby ACS. Služba ACS však používá k podepisování tokenů pro aplikaci předávající strany pouze certifikát oboru názvů.

Podpisové certifikáty se obvykle používají k podepisování tokenů pro všechny aplikace předávající strany v oboru názvů. Součást veřejného klíče podpisového certifikátu oboru názvů je publikována v metadatech služby ACS WS-Federation, která umožňují aplikacím předávající strany automatizovat jejich konfiguraci. Veřejné klíče certifikátů, které jsou přiřazené pouze k určité aplikaci předávající strany, nejsou v metadatech služby ACS WS-Federation a používají se pouze v případě, že je vyžadována nezávislá kontrola nad podpisovým certifikátem aplikace předávající strany.

Primární certifikáty a klíče

Ve službě ACS můžete udržovat několik certifikátů a klíčů, ale k podepisování tokenů používejte pouze určené certifikáty a klíče. Certifikáty a klíče určené k podepisování se označují jako primární certifikáty a klíče.

Chcete-li určit certifikát nebo klíč jako primární, vyberte položku Nastavit primární na stránce pro certifikát nebo klíč. Pokud chcete určit jiný certifikát jako primární, vyberte položku Nastavit primární položku na stránce pro jiný certifikát nebo klíč. Když to uděláte, ACS automaticky sníží úroveň všech existujících primárních certifikátů nebo klíčů na jiné než primární.

Pokud je alespoň jeden certifikát nebo klíč primární, certifikáty a klíče, které nejsou primární, se nepoužívají k podepisování, dokud nejsou povýšeny na primární stav správcem, a to i v případě, že je primární certifikát nebo klíč neplatný nebo vypršela jeho platnost. Pokud ale žádný z certifikátů (nebo klíčů) není primární, služba ACS používá neprimární certifikát, který má nejstarší platné počáteční datum.

Součást veřejného klíče primárních i neprimárních certifikátů je publikována v metadatech služby ACS WS-Federation pro povolení přechodu na programový certifikát. ACS ale k podepisování tokenů používá pouze primární certifikáty a klíče.

Platnost a datum vypršení platnosti podpisových klíčů

Když přidáte 256bitové symetrické podpisové klíče, musíte také zadat datum účinnosti a datum vypršení platnosti. Datum účinnosti označuje datum, kdy se tento klíč projeví. Datum vypršení platnosti označuje datum, kdy platnost tohoto klíče vyprší a nelze ho použít k podepsání tokenů.

Šifrování tokenů

V ACS se můžete rozhodnout šifrovat libovolný token SAML 1.1 nebo SAML 2.0, který ACS vydává s aplikacemi předávající strany.

Důležité

Služba ACS nepodporuje šifrování tokenů SWT ani JWT.

Šifrování tokenů je vyžadováno pro webové služby, které používají tokeny proof-of-possession přes protokol WS-Trust. Pokud používáte službu ACS ke správě ověřování pro takovou aplikaci předávající strany, všechny tokeny vydané službou ACS pro tuto aplikaci předávající strany musí být šifrované. Ve všech ostatních scénářích je šifrování tokenů volitelné.

Služba ACS šifruje tokeny SAML pomocí certifikátu X.509 obsahujícího veřejný klíč (soubor .cer). Token aplikace předávající strany dešifruje token pomocí privátního klíče pro tento certifikát X.509. Další informace najdete v tématu "Šifrování tokenů" v aplikacích předávající strany.

Dešifrování tokenů

Služba ACS může přijímat šifrované tokeny od zprostředkovatelů identity WS-Federation, například . Zprostředkovatel identity WS-Federation obdrží veřejný klíč certifikátu X.509 při importu WS-Federation metadat ze služby ACS a používá tento veřejný klíč k šifrování tokenu zabezpečení předávaného službě ACS. Služba ACS dešifruje token pomocí privátního klíče tohoto certifikátu X.509. Další informace najdete v tématu Postupy: Konfigurace služby AD FS 2.0 jako zprostředkovatele identity.

Certifikáty dešifrování primárního tokenu

Pro aplikaci předávající strany nebo pro Access Control obor názvů můžete udržovat více certifikátů dešifrování tokenů. Když označíte certifikát jako primární, služba ACS tento certifikát použije k dešifrování tokenů zprostředkovatelů identity WS-Federation a používá neprimární certifikáty pouze v případě, že se pokus o použití primárního certifikátu nezdaří.

Pokud chcete dešifrovací certifikát určit jako primární, vyberte položku Nastavit primární na stránce certifikátu. Pokud chcete určit jiný certifikát jako primární, vyberte položku Nastavit primární položku na stránce pro druhý certifikát. Když to uděláte, ACS automaticky sníží úroveň všech existujících primárních dešifračních certifikátů na jiné než primární.

Omezení služby ACS pro soubory certifikátů X.509

V ACS lze certifikáty X.509 obsahující pouze veřejný klíč (soubor .cer) použít při vytváření identity služby, ověřování podpisu zprostředkovatele identity nebo šifrování tokenů SAML. Soubory certifikátů X.509, které obsahují pouze veřejný klíč (soubor .cer), musí být kód DER kódovaný, aby bylo možné použít se službou ACS. Soubory certifikátů s kódováním Base64 se v současné době nepodporují. Při nahrání certifikátu s kódováním base64 do služby ACS dojde k chybě ověření, když ACS obdrží příchozí token, který tento certifikát vyžaduje.

V ACS musí být certifikáty X.509 buď podepsané svým držitelem, nebo podepsané a zřetězený přímo s veřejnou certifikační autoritou. Služba ACS nebude fungovat s certifikáty vydanými soukromou certifikační autoritou.

Poznámka

Certifikáty X.509 importované do služby ACS nesmí vypršena.

Získání certifikátu X.509

Existuje několik způsobů, jak získat certifikát X.509 pro podepisování tokenů, šifrování tokenů nebo dešifrování. Metoda, kterou používáte, závisí na vašich požadavcích a nástrojích dostupných ve vaší organizaci.

Komerční certifikační autorita – certifikát X.509 můžete zakoupit od komerční certifikační autority.

Vygenerujte certifikát Self-Signed – Můžete vygenerovat vlastní certifikát podepsaný svým držitelem, který se má používat se službou ACS. Pokud používáte operační systém založený na Windows, můžete k vygenerování certifikátu podepsaného svým držitelem použít nástroj MakeCert.exe, který je součástí sady Microsoft Windows Software Development Kit (https://go.microsoft.com/fwlink/?LinkID=214104).

Následující příkaz například vygeneruje certifikát podepsaný svým držitelem ve vašem osobním úložišti certifikátů.

MakeCert.exe -r -pe -n "CN=<service_namespace_name>.accesscontrol.windows.net" -sky exchange -ss my -len 2048 –e <1 year from today>

kde <service_namespace_name> je název vašeho oboru názvů Access Control.

Privátní klíč pak můžete exportovat z osobního úložiště jako soubor .pfx a pomocí portálu pro správu služby ACS ho nahrát do služby ACS.

Export certifikátu Self-Signed

Tyto pokyny vysvětlují, jak exportovat certifikaci podepsanou svým držitelem z počítače s Windows 8, Windows Server 2012 nebo .

Export certifikátu podepsaného svým držitelem

  1. Spusťte MMC.exe a přidejte modul snap-in Certifikáty do konzoly MMC.

  2. Poklikejte na Certifikáty – Aktuální uživatel, Osobní a potom Certifikáty.

  3. Klepněte pravým tlačítkem myši na certifikát, klepněte na příkaz Všechny úkoly a potom klepněte na tlačítko Exportovat.

  4. Na úvodní stránce Průvodce exportem certifikátu klikněte na tlačítko Další.

  5. Na stránce Exportovat soukromý klíč vyberte možnost Ano, exportovat soukromý klíča klikněte na Další.

  6. Na stránce Exportovat formát souboru klikněte na osobní údaje Exchange – PKCS #12 (. PFX).

  7. Do polí Heslo zadejte heslo a potvrzovací heslo a klepněte na tlačítko Další.

  8. Do pole Název souboru zadejte cestu a název souboru s příponou .pfx a klepněte na tlačítko Další.

  9. Klikněte na Finish (Dokončit).

Platná data certifikátů a klíčů

Služba ACS vyhodnocuje počáteční a koncové datum (a časy) certifikátů a klíčů v koordinovaném univerzálním čase (UTC). V důsledku toho může služba ACS zvážit neplatné klíče a certifikáty, i když jsou platné v místním čase místního počítače nebo v jiném časovém pásmu.

Pokud chcete zajistit, aby certifikát nebo klíč byly platné okamžitě, upravte data na čas UTC. V opačném případě může služba ACS selhat vydání tokenu, protože klíč nebo certifikát ještě není platný.

Viz také

Koncepty

Komponenty ACS 2.0
Aplikace předávající strany
Pokyny ke správě certifikátů a klíčů