Sdílet prostřednictvím

Pokyny ke správě certifikátů a klíčů

  • Článek

Platí pro

  • Microsoft Azure Active Directory Access Control (označované také jako služba Access Control nebo služba ACS)

Souhrn

Toto téma popisuje pokyny pro používání certifikátů a klíčů v ACS. Vzhledem k tomu, že platnost certifikátů a klíčů vyprší návrhem, je důležité sledovat data vypršení platnosti a před vypršením platnosti provést odpovídající akce, aby aplikace, které používají službu ACS, fungovaly správně bez přerušení.

Důležité

Sledujte vypršení platnosti a obnovte certifikáty, klíče a hesla používaná oborem názvů Access Control, aplikacemi předávající strany, identitami služeb a účtem služby ACS Management Service.

Cíle

  • Výpis certifikátů a klíčů, které musí být sledovány pro data vypršení platnosti

  • Osnova postupů pro prodloužení platnosti certifikátů a klíčů

    Důležité

    Informace o chybových zprávách a procesu obnovení najdete v části konkrétního certifikátu, přihlašovacích údajů nebo klíče v tomto tématu.

Přehled

Vzhledem k tomu, že je zaručeno vypršení platnosti certifikátů, je vhodné nahrát nový certifikát s předstihem před vypršením platnosti aktuálního certifikátu. Základní kroky, které by měly být zapojeny, jsou následující:

  • Upload nový sekundární certifikát.

  • Informujte partnery, kteří používají službu nadcházející změny. Partneři by měli aktualizovat konfiguraci certifikátu pro předávající strany (například kryptografický otisk certifikátu nakonfigurovaného v web.config v uzlu důvěryhodných identifikátorů V ASP.NET webové aplikaci).

  • Přepněte podepisování na nový certifikát (označte ho jako primární) a ponechejte předchozí certifikát na místě po přiměřenou dobu odkladu.

  • Po skončení období odkladu odeberte starý certifikát. 

Když vyprší platnost certifikátu nebo klíče, pokusy služby ACS o vydání tokenů selžou a aplikace předávající strany nemůže správně fungovat. Služba ACS ignoruje certifikáty a klíče s vypršenou platností, což vede ke stejným výjimkám, které by se vyvolaly, pokud se nikdy nenakonfiguroval žádný certifikát nebo klíč.

Následující části obsahují informace o správě certifikátů a klíčů, které služba ACS používá, jak je obnovit a jak identifikovat certifikáty a klíče, které se blíží vypršení platnosti nebo jejichž platnost vypršela.

  • Ke správě certifikátů a klíčů pro Access Control obory názvů a aplikace předávající strany použijte stránku Certifikáty a klíče portálu pro správu služby ACS. Další informace o těchto typech přihlašovacích údajů najdete v tématu Certifikáty a klíče.

  • Ke správě přihlašovacích údajů (certifikátů, klíčů nebo hesel) identit služeb použijte stránku Identit služby na portálu pro správu služby ACS. Další informace o identitách služeb najdete v tématu Identity služby.

  • Ke správě přihlašovacích údajů (certifikátů, klíčů nebo hesel) účtů služby ACS Management Service použijte stránku Služby správy na portálu pro správu služby ACS. Další informace o službě pro správu služby ACS naleznete v tématu Služba pro správu služby ACS.

  • Pokud chcete spravovat certifikáty pro zprostředkovatele identity WS-Federation, jako je AD FS 2.0, použijte stránku Zprostředkovatelé identit na portálu pro správu služby ACS. Další informace najdete v tématu WS-Federation certifikátu zprostředkovatele identity a zprostředkovatelů identit WS-Federation.

    Pokud chcete zobrazit a aktualizovat WS-Federation certifikáty a klíče zprostředkovatele identity prostřednictvím kódu programu, použijte službu ACS Management Service. Pokud chcete ověřit platná data certifikátu, zadejte dotaz na hodnoty vlastností StartDate a EndDate entity IdentityProviderKey . Další informace najdete v ukázce kódu KeyManagement , ukázka kódu: Správa klíčů.

Když požádáte o token podepsaný certifikátem nebo klíčem s vypršenou platností, služba ACS vyvolá výjimky, které mají kódy chyb služby ACS specifické pro certifikát nebo klíč. Konkrétní kódy chyb najdete v následujících částech.

Dostupné certifikáty a klíče

Následující seznam zobrazuje dostupné certifikáty a klíče používané v ACS a musí být sledovány pro data vypršení platnosti:

Důležité

Informace o chybových zprávách a procesu obnovení najdete v části konkrétního certifikátu, přihlašovacích údajů nebo klíče v tomto tématu.

  • Podpisové certifikáty tokenů

  • Podpisové klíče tokenu

  • Certifikáty šifrování tokenů

  • Certifikáty dešifrování tokenů

  • Přihlašovací údaje identity služby

  • Přihlašovací údaje účtu služby ACS Management Service

  • podpisové a šifrovací certifikáty zprostředkovatele identity WS-Federation

Zbytek tohoto tématu podrobně popisuje jednotlivé certifikáty a klíče.

Podpisové certifikáty tokenů

Služba ACS podepíše všechny tokeny zabezpečení, které řeší. K podepsání tokenů SAML pro aplikace používá certifikáty X.509.

Když vypršela platnost podpisového certifikátu, služba ACS při vyžádání tokenu vrátí následující chyby:

Kód chyby Zpráva Lék

ACS50004

Není nakonfigurovaný žádný primární podpisový certifikát X.509. Podpisový certifikát se vyžaduje pro SAML.

Pokud vybraná předávající strana používá tokeny SAML, ujistěte se, že je pro předávající stranu nebo obor názvů Access Control nakonfigurovaný platný certifikát X.509. Certifikát musí být nastavený na primární a nesmí být ukončen.

Obnovení podpisového certifikátu:

  1. Přejděte na portál pro správu Microsoft Azure (https://manage.WindowsAzure.com), přihlaste se a klikněte na Active Directory. (Tip pro řešení potíží: Položka Active Directory chybí nebo není k dispozici)

  2. Chcete-li spravovat obor názvů Access Control, vyberte obor názvů a klepněte na tlačítko Spravovat. (Nebo klikněte na Access Control Obory názvů, vyberte obor názvů a potom klikněte na Spravovat.)

  3. Klikněte na Certifikáty a klíče.

  4. Vyberte certifikát se stavem Blízké vypršení platnosti nebo Vypršení platnosti.

    Poznámka

    V části Certifikáty a klíče jsou certifikáty a klíče pro obor názvů Access Control označeny jako Obor názvů služby.

  5. Zadejte nebo vygenerujte certifikát podle potřeby.

  6. Aktualizujte data platnosti a vypršení platnosti .

  7. Kliknutím na Uložit dokončete.

Podpisový klíč tokenu

Služba ACS podepíše všechny tokeny zabezpečení, které řeší. Služba ACS používá 256bitové symetrické podpisové klíče pro aplikace, které využívají tokeny SWT vydané službou ACS.

Při vypršení platnosti podpisových klíčů vrátí služba ACS následující chyby při vyžádání tokenu:

Kód chyby Zpráva Lék

ACS50003

Není nakonfigurovaný žádný primární symetrický podpisový klíč. Pro SWT se vyžaduje symetrický podpisový klíč.

Pokud vybraná předávající strana jako typ tokenu používá SWT, ujistěte se, že je symetrický klíč nakonfigurovaný pro předávající stranu nebo obor názvů Access Control a že klíč je nastavený na primární a nevypršela jeho platnost.

Obnovení podpisového klíče:

  1. Přejděte na portál pro správu Microsoft Azure (https://manage.WindowsAzure.com), přihlaste se a klikněte na Active Directory. (Tip pro řešení potíží: Položka Active Directory chybí nebo není k dispozici)

  2. Chcete-li spravovat obor názvů Access Control, vyberte obor názvů a klepněte na tlačítko Spravovat. (Nebo klikněte na Access Control Obory názvů, vyberte obor názvů a potom klikněte na Spravovat.)

  3. Klikněte na Certifikáty a klíče.

  4. Vyberte klíč se stavem Blízké vypršení platnosti nebo Vypršení platnosti.

    Poznámka

    V části Certifikáty a klíče jsou certifikáty a klíče pro obor názvů Access Control označeny jako Obor názvů služby.

  5. Podle potřeby zadejte nebo vygenerujte klíč.

  6. Aktualizujte data platnosti a vypršení platnosti .

  7. Kliknutím na Uložit dokončete.

Certifikáty šifrování tokenů

Šifrování tokenů se vyžaduje, když je aplikace předávající strany webovou službou, která používá tokeny proof-of-possession přes protokol WS-Trust. V jiných případech je šifrování tokenu volitelné.

Když vyprší platnost šifrovacích certifikátů, vrátí služba ACS následující chyby při vyžádání tokenu:

Kód chyby Zpráva Lék

ACS50005

Šifrování tokenů se vyžaduje, ale pro předávající stranu není nakonfigurovaný žádný šifrovaný certifikát.

Zakažte šifrování tokenů pro zvolenou předávající stranu nebo nahrajte certifikát X.509, který se má použít pro šifrování tokenů.

Obnovení šifrovacího certifikátu:

  1. Přejděte na portál pro správu Microsoft Azure (https://manage.WindowsAzure.com), přihlaste se a klikněte na Active Directory. (Tip pro řešení potíží: Položka Active Directory chybí nebo není k dispozici)

  2. Pokud chcete spravovat Access Control obor názvů, vyberte obor názvů a klikněte na Spravovat. (Nebo klikněte na Access Control Obory názvů, vyberte obor názvů a potom klikněte na Spravovat.)

  3. Klikněte na Certifikáty a klíče.

  4. Vyberte certifikát se stavem Téměř vypršela nebovypršela platnost.

    Poznámka

    V části Certifikáty a klíče jsou certifikáty a klíče pro obor názvů Access Control označeny oborem názvů služby.

  5. Zadejte nebo přejděte do nového souboru certifikátu a zadejte heslo pro tento soubor.

  6. Kliknutím na Uložit dokončete .

Certifikáty dešifrování tokenů

Služba ACS může přijímat šifrované tokeny od zprostředkovatelů identity WS-Federation, jako je služba AD FS 2.0. ACS používá k dešifrování certifikát X.509 hostovaný v ACS.

Při vypršení platnosti dešifračních certifikátů vrátí služba ACS následující chyby při vyžádání tokenu:

Kód chyby Zpráva

ACS10001

Při zpracování hlavičky SOAP došlo k chybě.

ACS20001

Při zpracování odpovědi WS-Federation přihlášení došlo k chybě.

Obnovení dešifrovacího certifikátu:

  1. Přejděte na portál pro správu Microsoft Azure (https://manage.WindowsAzure.com), přihlaste se a klikněte na Active Directory. (Tip pro řešení potíží: Položka Active Directory chybí nebo není k dispozici)

  2. Pokud chcete spravovat Access Control obor názvů, vyberte obor názvů a klikněte na Spravovat. (Nebo klikněte na Access Control Obory názvů, vyberte obor názvů a potom klikněte na Spravovat.)

  3. Klikněte na Certifikáty a klíče.

  4. Pomocí oddílu Certifikáty a klíče na portálu pro správu služby ACS můžete spravovat certifikáty nebo klíče související s Access Control obory názvů a aplikacemi předávající strany.

  5. Vyberte certifikát se stavem Téměř vypršela nebovypršela platnost.

    Poznámka

    V části Certifikáty a klíče jsou certifikáty a klíče pro obor názvů Access Control označeny oborem názvů služby.

  6. Zadejte nebo přejděte do nového souboru certifikátu a zadejte heslo pro tento soubor.

  7. Kliknutím na Uložit dokončete .

Přihlašovací údaje identity služby

Identity služeb jsou přihlašovací údaje nakonfigurované globálně pro obor názvů Access Control. Umožňují aplikacím nebo klientům ověřovat se přímo pomocí služby ACS a přijímat token. Identita služby ACS může používat symetrické klíče, hesla a certifikáty X.509. Služba ACS vyvolá následující výjimky při vypršení platnosti přihlašovacích údajů.

Přihlašovací údaj Kód chyby Zpráva Lék

Symetrický klíč, Heslo

ACS50006

Ověření podpisu se nezdařilo. (Podrobnosti M jsou ve zprávě.)

Certifikát X.509

ACS50016

X509Certificate s předmětem "<Název> subjektu certifikátu" a kryptografický otisk "<Kryptografický otisk> certifikátu" neodpovídá žádnému nakonfigurovaném certifikátu.

Ujistěte se, že se požadovaný certifikát nahrál do služby ACS.

Pokud chcete ověřit a aktualizovat data vypršení platnosti symetrických klíčů nebo hesla nebo nahrát nový certifikát jako přihlašovací údaje k identitě služby, postupujte podle pokynů uvedených v tématu Postupy: Přidání identit služeb s certifikátem X.509, heslem nebo symetrickým klíčem. Seznam přihlašovacích údajů identity služby, které jsou k dispozici na stránce Upravit identitu služby

  1. Přejděte na stránku Identities služby na portálu pro správu služby ACS.

  2. Vyberte identitu služby.

  3. Vyberte přihlašovací údaje, symetrický klíč, heslo nebo certifikát X.509 se stavem Vypršení platnosti nebo blízkého vypršení platnosti .

  4. Jako symetrický klíč zadejte nebo vygenerujte nový klíč a zadejte datum platnosti a vypršení platnosti . Klikněte na Uložit.

  5. Jako heslo zadejte nové heslo a zadejte datum platnosti a vypršení platnosti . Klikněte na Uložit.

  6. V případě certifikátu X.509 zadejte nebo přejděte do nového souboru certifikátu a klikněte na uložit.

Přihlašovací údaje služby pro správu

Služba ACS Management Service je klíčovou součástí služby ACS, která umožňuje programově spravovat a konfigurovat nastavení v oboru názvů Access Control. Účet služby ACS Management Service může používat symetrické klíče, hesla a certifikáty X.509. Pokud platnost těchto přihlašovacích údajů vypršela, služba ACS vyvolá následující výjimky.

Přihlašovací údaj Kód chyby Zpráva Lék

Symetrický klíč nebo heslo

ACS50006

Ověření podpisu se nezdařilo. (Ve zprávě můžou být další podrobnosti.)

Certifikát X.509

ACS50016

X509Certificate s předmětem "<Název> subjektu certifikátu" a kryptografický otisk "<Kryptografický otisk> certifikátu" neodpovídá žádnému nakonfigurovaném certifikátu.

Ujistěte se, že se požadovaný certifikát nahrál do služby ACS.

Seznam přihlašovacích údajů účtu služby pro správu služby ACS se zobrazí na stránce Upravit účet služby pro správu na portálu pro správu služby ACS.

  1. Přejděte na stránku služby Správa na portálu pro správu služby ACS.

  2. Vyberte účet služby pro správu.

  3. Vyberte přihlašovací údaje, symetrické klíče, hesla nebo certifikát X.509 se stavem Vypršení platnosti nebo blízkého vypršení platnosti.

  4. Jako symetrický klíč zadejte nebo vygenerujte nový klíč a zadejte datum platnosti a vypršení platnosti . Klikněte na Uložit.

  5. Jako heslo zadejte nové heslo a zadejte datum platnosti a vypršení platnosti . Klikněte na Uložit.

  6. V případě certifikátu X.509 zadejte nebo přejděte na nový certifikát a klikněte na uložit.

certifikát zprostředkovatele identity WS-Federation

Dokument metadat federace pro zprostředkovatele identity WS-Federation obsahuje kryptografický otisk, který identifikuje certifikát X.509, který se používá k podepisování tokenů pro identifikaci zprostředkovatele.

Pokud chcete zjistit, jestli je certifikát zprostředkovatele identity WS-Federation v rozsahu jeho platnosti, použijte službu ACS Management Service nebo portál pro správu služby ACS.

Použití portálu pro správu služby ACS:

  1. Přihlaste se k portálu https://manage.WindowsAzure.compro správu Azure .

  2. Vyberte obor názvů Access Control a potom klikněte na Spravovat. (Nebo klikněte na Access Control Obory názvů, vyberte Access Control obor názvů a potom klikněte na Spravovat.

  3. Na portálu pro správu služby ACS klikněte na zprostředkovatele identit a pak vyberte WS-Federation zprostředkovatele identity.

  4. V části Podpisové certifikáty tokenů zobrazte platná data a stav certifikátu zprostředkovatele identity WS-Federation.

  5. Pokud je stav certifikátu vypršela nebo vypršela platnost, ověřte, že WS-Federation zprostředkovatele identity (AD FS nebo vlastního zprostředkovatele identity) přidal sekundární podpisový certifikát.

    Pokud jste použili adresu URL k identifikaci metadat federace pro zprostředkovatele identity WS-Federation, vyberte při uložení znovu importovat data z adresy URL metadat WS-Federation a potom klikněte na Uložit. Pokud jste nahráli metadata WS-Federation jako místní soubor, nahrajte nový soubor metadat WS-Federation znovu a klikněte na Uložit.

Pokud služba ACS obdrží token od zprostředkovatele identity podepsaného s prošlým nebo neznámým certifikátem, služba ACS vyvolá následující výjimky.

Kód chyby Zpráva

ACS10001

Při zpracování hlavičky SOAP došlo k chybě.

ACS20001

Při zpracování odpovědi WS-Federation přihlášení došlo k chybě.

ACS50006

Ověření podpisu se nezdařilo. (Ve zprávě můžou být další podrobnosti.)

Viz také

Úkoly

Ukázka kódu: Správa klíčů

Koncepty

Kódy chyb ACS
Index pokynů služby ACS
Služba správy služby ACS
Certifikáty a klíče
Postupy: Přidání identit služeb pomocí certifikátu X.509, hesla nebo symetrického klíče
Aplikace předávající strany
Identity služeb