Recommandations en matière de gestion de certificats et de clés
S'applique à
- Microsoft Azure Active Directory Access Control (également appelé Access Control Service ou ACS)
Résumé
Cette rubrique décrit les instructions relatives à l’utilisation de certificats et de clés dans ACS. Étant donné que les certificats et les clés expirent par conception, il est important de suivre les dates d’expiration et de prendre les mesures appropriées avant l’expiration afin que les applications qui utilisent ACS continuent de fonctionner correctement sans interruption.
Important
Suivez l’expiration et renouvelez les certificats, les clés et les mots de passe utilisés par l’espace de noms Access Control, les applications de partie de confiance, les identités de service et le compte du service de gestion ACS.
Objectifs
Énumérer les certificats et les clés dont les dates d'expiration doivent être suivies
Décrire les procédures de renouvellement des certificats et des clés
Important
Pour plus d'informations sur le processus de renouvellement ou les messages d'erreur, consultez la section spécifique aux certificats, aux informations d'identification ou aux clés dans cette rubrique.
Vue d’ensemble
L'expiration des certificats étant planifiée, nous vous recommandons de télécharger un nouveau certificat longtemps avant la date d'expiration du certificat actuel. Voici les principales étapes à effectuer :
Télécharger un nouveau certificat secondaire.
Informer les partenaires qui utilisent le service de la modification à venir. Les partenaires doivent mettre à jour leur configuration de certificat pour leurs parties de confiance (par exemple, une empreinte du certificat configuré dans web.config sous la nœud trustedIssuers dans une application web ASP.NET).
Faire basculer la signature vers le nouveau certificat (le marquer comme primaire) tout en laissant le précédent en place pendant une période de grâce raisonnable.
Une fois la période de grâce terminée, supprimez l’ancien certificat.
Lorsqu’un certificat ou une clé expire, les tentatives effectuées par ACS pour émettre des jetons échouent et l’application de partie de confiance ne peut pas fonctionner correctement. ACS ignore les certificats et les clés expirés, ce qui génère les mêmes exceptions que celles levées si aucun certificat ou clé n’a jamais été configuré.
Les sections suivantes fournissent des informations sur la gestion des certificats et des clés que le service ACS utilise, leur renouvellement et l’identification des certificats et des clés qui arrivent à expiration ou qui ont expiré.
Pour gérer les certificats et les clés pour les espaces de noms et les applications de partie de confiance Access Control, utilisez la page Certificats et clés du portail de gestion ACS. Pour plus d’informations sur ces types d’informations d’identification, consultez Certificats et clés.
Pour gérer les informations d’identification (certificats, clés ou mots de passe) des identités de service, utilisez la page Identités de service du portail de gestion ACS. Pour plus d’informations sur les identités de service, consultez Identités de service.
Pour gérer les informations d’identification (certificats, clés ou mots de passe) des comptes du service de gestion ACS, utilisez la page Service de gestion du portail de gestion ACS. Pour plus d’informations sur le service de gestion ACS, consultez ACS Management Service.
Pour gérer des certificats pour des fournisseurs d'identité WS-Federation, tels que les services AD FS 2.0, utilisez la page Fournisseurs d'identité du portail de gestion ACS. Pour plus d’informations, consultez WS-Federation certificat de fournisseur d’identité et les fournisseurs d’identité WS-Federation.
Pour afficher et mettre à jour WS-Federation certificats et clés du fournisseur d’identité par programme, utilisez le service de gestion ACS. Pour vérifier les dates effectives d’un certificat, interrogez les valeurs des propriétés StartDate et EndDate de l’entité IdentityProviderKey. Pour plus d’informations, téléchargez l’exemple de code KeyManagement, l’exemple de code : Gestion des clés.
Lorsque vous demandez un jeton signé par un certificat ou une clé expiré, ACS lève des exceptions qui ont des codes d’erreur ACS spécifiques au certificat ou à la clé. Pour plus d'informations sur les codes d'erreur spécifiques, consultez les sections ci-dessous.
Clés et certificats disponibles
La liste suivante affiche les certificats et clés disponibles utilisés dans ACS et doit être suivi pour les dates d’expiration :
Important
Pour plus d'informations sur le processus de renouvellement ou les messages d'erreur, consultez la section spécifique aux certificats, aux informations d'identification ou aux clés dans cette rubrique.
Certificats de signature de jeton
Clés de signature de jetons
Certificats de chiffrement de jetons
Certificats de déchiffrement de jetons
Informations d'identification d'identité de service
Informations d’identification du compte de service de gestion ACS
Certificats de chiffrement et de signature de fournisseurs d'identité WS-Federation
Le reste de cette rubrique traite de chaque certificat et clé en détail.
Certificats de signature de jeton
ACS signe tous les jetons de sécurité qu’il émet. Il utilise des certificats X.509 pour signer les jetons SAML pour les applications.
Quand un certificat de signature a expiré, ACS renvoie les erreurs suivantes quand vous demandez un jeton :
Code d'erreur | Message | Solution |
---|---|---|
ACS50004 |
Aucun certificat de signature X.509 primaire n'est configuré. Un certificat de signature est nécessaire pour SAML. |
Si la partie de confiance choisie utilise des jetons SAML, vérifiez qu’un certificat X.509 valide est configuré pour la partie de confiance ou l’espace de noms Access Control. Le certificat doit être primaire et ne doit pas avoir expiré. |
Pour renouveler un certificat de signature
Accédez au portail de gestion Microsoft Azure (https://manage.WindowsAzure.com), connectez-vous, puis cliquez sur Active Directory. (Conseil de résolution des problèmes : l’élément « Active Directory » est manquant ou non disponible)
Pour gérer un espace de noms Access Control, sélectionnez l'espace de noms, puis cliquez sur Gérer. (Ou cliquez sur Espaces de noms Access Control, sélectionnez l'espace de noms, puis cliquez sur Gérer.)
Cliquez sur Certificats et clés.
Sélectionnez un certificat à l'état Sur le point d'expirer ou Expiré.
Notes
Dans la section Certificats et clés, les certificats et les clés de l’espace de noms Access Control sont étiquetés Espace de noms de service.
Entrez ou générez un certificat selon les besoins.
Mettez à jour les dates Effective et Expiration.
Cliquez sur Enregistrer pour terminer.
Clé de signature de jetons
ACS signe tous les jetons de sécurité qu’il émet. ACS utilise des clés de signature symétriques 256 bits pour les applications qui consomment des jetons SWT émis par ACS.
Quand des clés de signature expirent, ACS renvoie les erreurs suivantes quand vous demandez un jeton :
Code d'erreur | Message | Solution |
---|---|---|
ACS50003 |
Aucune clé de signature symétrique primaire n'est configurée. Une clé de signature symétrique est nécessaire pour SWT. |
Si la partie de confiance choisie utilise SWT comme type de jeton, vérifiez qu’une clé symétrique est configurée pour la partie de confiance ou l’espace de noms Access Control, et que la clé est définie sur primaire et n’est pas expirée. |
Pour renouveler une clé de signature
Accédez au portail de gestion Microsoft Azure (https://manage.WindowsAzure.com), connectez-vous, puis cliquez sur Active Directory. (Conseil de résolution des problèmes : l’élément « Active Directory » est manquant ou non disponible)
Pour gérer un espace de noms Access Control, sélectionnez l'espace de noms, puis cliquez sur Gérer. (Ou cliquez sur Espaces de noms Access Control, sélectionnez l'espace de noms, puis cliquez sur Gérer.)
Cliquez sur Certificats et clés.
Sélectionnez une clé à l'état Sur le point d'expirer ou Expiré.
Notes
Dans la section Certificats et clés, les certificats et les clés de l’espace de noms Access Control sont étiquetés Espace de noms de service.
Entrez ou générez une clé selon les besoins.
Mettez à jour les dates Effective et Expiration.
Cliquez sur Enregistrer pour terminer.
Certificats de chiffrement de jetons
Le chiffrement des jetons est nécessaire quand une application de partie de confiance est un service web qui utilise des jetons avec preuve de possession sur le protocole WS-Trust. Dans les autres cas, le chiffrement des jetons est facultatif.
Quand des certificats de chiffrement expirent, ACS renvoie les erreurs suivantes quand vous demandez un jeton :
Code d'erreur | Message | Solution |
---|---|---|
ACS50005 |
Le chiffrement des jetons est requis, mais aucun certificat de chiffrement n'est configuré pour la partie de confiance. |
Désactivez le chiffrement des jetons pour la partie de confiance choisie ou téléchargez un certificat X.509 à utiliser pour le chiffrement des jetons. |
Pour renouveler un certificat de chiffrement
Accédez au portail de gestion Microsoft Azure (https://manage.WindowsAzure.com), connectez-vous, puis cliquez sur Active Directory. (Conseil de résolution des problèmes : l’élément « Active Directory » est manquant ou non disponible)
Pour gérer un espace de noms Access Control, sélectionnez l'espace de noms, puis cliquez sur Gérer. (Ou cliquez sur Espaces de noms Access Control, sélectionnez l'espace de noms, puis cliquez sur Gérer.)
Cliquez sur Certificats et clés.
Sélectionnez un certificat à l'état Sur le point d'expirer ou Expiré.
Notes
Dans la section Certificats et clés, les certificats et les clés de l’espace de noms Access Control sont étiquetés Espace de noms de service.
Entrez ou accédez au nouveau fichier de certificat, puis entrez le mot de passe de ce fichier.
Cliquez sur Enregistrer pour terminer.
Certificats de déchiffrement de jetons
ACS peut accepter des jetons chiffrés à partir de WS-Federation fournisseurs d’identité, tels que AD FS 2.0. ACS utilise un certificat X.509 hébergé dans ACS pour le déchiffrement.
Quand des certificats de déchiffrement expirent, ACS renvoie les erreurs suivantes quand vous demandez un jeton :
Code d'erreur | Message |
---|---|
ACS10001 |
Une erreur s'est produite lors du traitement de l'en-tête SOAP. |
ACS20001 |
Une erreur s'est produite lors du traitement d'une réponse de connexion WS-Federation. |
Pour renouveler un certificat de déchiffrement
Accédez au portail de gestion Microsoft Azure (https://manage.WindowsAzure.com), connectez-vous, puis cliquez sur Active Directory. (Conseil de résolution des problèmes : l’élément « Active Directory » est manquant ou non disponible)
Pour gérer un espace de noms Access Control, sélectionnez l'espace de noms, puis cliquez sur Gérer. (Ou cliquez sur Espaces de noms Access Control, sélectionnez l'espace de noms, puis cliquez sur Gérer.)
Cliquez sur Certificats et clés.
Utilisez la section Certificats et clés dans le portail de gestion ACS pour gérer des certificats ou des clés liés aux espaces de noms Access Control et aux applications de partie de confiance.
Sélectionnez un certificat à l'état Sur le point d'expirer ou Expiré.
Notes
Dans la section Certificats et clés, les certificats et les clés de l’espace de noms Access Control sont étiquetés Espace de noms de service.
Entrez ou accédez au nouveau fichier de certificat, puis entrez le mot de passe pour ce fichier.
Cliquez sur Enregistrer pour terminer.
Informations d'identification d'identité de service
Les identités de service sont des informations d’identification configurées globalement pour l’espace de noms Access Control. Ils permettent aux applications ou aux clients d’s’authentifier directement auprès d’ACS et de recevoir un jeton. Une identité de service ACS peut être utilisée avec des clés symétriques, des mots de passe et des certificats X.509. ACS lève les exceptions suivantes lorsque les informations d’identification ont expiré.
Informations d'identification | Code d'erreur | Message | Solution |
---|---|---|---|
Clé symétrique, mot de passe |
ACS50006 |
Échec de la vérification de signature. (Les détails sont dans le message.) |
|
X.509 Certificate |
ACS50016 |
X509Certificate avec le sujet «< Nom> de l’objet du certificat » et empreinte numérique «<> Empreinte numérique de certificat » ne correspond à aucun certificat configuré. |
Vérifiez que le certificat demandé a été téléchargé vers ACS. |
Pour vérifier et mettre à jour les dates d’expiration des clés symétriques ou du mot de passe, ou pour charger de nouveaux certificats en tant qu’informations d’identification d’identité de service, suivez les instructions décrites dans How to: Add Service Identityes with an X.509 Certificate, Password ou Symmetric Key. Liste des informations d'identité de service disponibles dans la page Modifier l'identité de service.
Accédez à la page Identités de service dans le portail de gestion ACS.
Sélectionnez une identité de service.
Sélectionnez des informations d'identification, une clé symétrique, un mot de passe ou un certificat X.509 à l'état Expiré ou Sur le point d'expirer.
Pour une clé symétrique, entrez ou générez une nouvelle clé et entrez les dates Effective et Expiration. Cliquez sur Enregistrer.
Pour un mot de passe, entrez un nouveau mot de passe et entrez les dates Effective et Expiration. Cliquez sur Enregistrer.
Pour un certificat X.509, entrez ou accédez à un nouveau fichier de certificat et cliquez sur Enregistrer.
Informations d'identification du service de gestion
Le service de gestion ACS est un composant clé d’ACS qui vous permet de gérer et de configurer des paramètres par programmation dans un espace de noms Access Control. Un compte de service de gestion ACS peut utiliser des clés symétriques, des mots de passe et des certificats X.509. Si ces informations d’identification ont expiré, ACS lève les exceptions suivantes.
Informations d'identification | Code d'erreur | Message | Solution |
---|---|---|---|
Clé symétrique ou mot de passe |
ACS50006 |
Échec de la vérification de signature. (Le message peut contenir davantage de détails.) |
|
X.509 Certificate |
ACS50016 |
X509Certificate avec le sujet «< Nom> de l’objet du certificat » et empreinte numérique «<> Empreinte numérique de certificat » ne correspond à aucun certificat configuré. |
Vérifiez que le certificat demandé a été téléchargé vers ACS. |
La liste des informations d’identification du compte de service de gestion ACS s’affiche dans la page Modifier le compte de service de gestion dans le portail de gestion ACS.
Accédez à la page du service De gestion dans le portail de gestion ACS.
Sélectionnez un compte du service de gestion.
Sélectionnez les informations d’identification, les clés symétriques, les mots de passe ou le certificat X.509 avec un état expiré ou proche expiré.
Pour une clé symétrique, entrez ou générez une nouvelle clé et entrez les dates effectives et d’expiration . Cliquez sur Enregistrer.
Pour un mot de passe, entrez un nouveau mot de passe et entrez les dates Effective et Expiration. Cliquez sur Enregistrer.
Pour un certificat X.509, entrez ou accédez à un nouveau certificat et cliquez sur Enregistrer.
Certificat de fournisseur d'identité WS-Federation
Le document de métadonnées de fédération d'un fournisseur d'identité WS-Federation comprend une empreinte qui identifie le certificat X.509 utilisé pour signer les jetons pour le fournisseur d'identité.
Pour déterminer si un certificat de fournisseur d’identité WS-Federation se trouve dans la plage de ses dates effectives, utilisez le service de gestion ACS ou le portail de gestion ACS.
Pour utiliser le portail de gestion ACS
Connectez-vous au portail https://manage.WindowsAzure.comde gestion Azure .
Sélectionnez un espace de noms Access Control, puis cliquez sur Gérer. (Ou cliquez sur Espaces de noms Access Control, sélectionnez un espace de noms Access Control, puis cliquez sur Gérer.)
Dans le portail de gestion ACS, cliquez sur Fournisseurs d'identité, puis sélectionnez un fournisseur d'identité WS-Federation.
Dans la section Certificats de signature de jetons, observez les dates de validité et l'État du certificat du fournisseur d'identité WS-Federation.
Si l'état du certificat est Expiré ou Sur le point d'expirer, vérifiez que le fournisseur d'identité WS-Federation (services AD FS ou un fournisseur d'identité personnalisé) a ajouté un certificat de signature secondaire.
Si vous avez utilisé une URL pour identifier les métadonnées de fédération pour le fournisseur d'identité WS-Federation, sélectionnez Réimporter les données à partir de l'URL de métadonnées WS-Federation lors de l'enregistrement, puis cliquez sur Enregistrer. Si vous avez téléchargé les métadonnées WS-Federation en tant que fichier local, retéléchargez le nouveau fichier de métadonnées WS-Federation, puis cliquez sur Enregistrer.
Si ACS a reçu un jeton en provenance d'un fournisseur d'identité qui est signé avec un certificat inconnu ou ayant expiré, ACS lève les exceptions suivantes.
Code d'erreur | Message |
---|---|
ACS10001 |
Une erreur s'est produite lors du traitement de l'en-tête SOAP. |
ACS20001 |
Une erreur s'est produite lors du traitement d'une réponse de connexion WS-Federation. |
ACS50006 |
Échec de la vérification de signature. (Le message peut contenir davantage de détails.) |
Voir aussi
Tâches
Exemple de code : Gestion des clés
Concepts
Codes d'erreur ACS
Index des recommandations sur ACS
Service de gestion ACS
Certificats et clés
Guide pratique pour ajouter des identités de service avec un certificat, un mot de passe ou une clé symétrique X.509
Applications de partie de confiance
Identités de service