Delen via

Richtlijnen voor het beheer van certificaten en sleutels

  • Artikel

Van toepassing op

  • Microsoft Azure Active Directory Access Control (ook wel bekend als Access Control Service of ACS)

Samenvatting

In dit onderwerp worden de richtlijnen beschreven voor het gebruik van certificaten en sleutels in ACS. Omdat certificaten en sleutels standaard verlopen, is het belangrijk om de vervaldatums bij te houden en passende actie te ondernemen voorafgaand aan de vervaldatum, zodat toepassingen die acs gebruiken, zonder onderbreking correct blijven functioneren.

Belangrijk

Volg verlopen en vernieuw certificaten, sleutels en wachtwoorden die worden gebruikt door de Access Control naamruimte, relying party-toepassingen, service-id's en het ACS Management Service-account.

Doelen

  • De certificaten en sleutels vermelden die moeten worden bijgehouden voor vervaldatums

  • Overzicht van de verlengingsprocedures voor de certificaten en sleutels

    Belangrijk

    Zie het specifieke certificaat, de referentie- of sleutelsectie in dit onderwerp voor foutberichten en het verlengingsproces.

Overzicht

Omdat certificaten gegarandeerd verlopen, is het raadzaam om een nieuw certificaat ruim voor de vervaldatum van het huidige certificaat te uploaden. De stappen op hoog niveau die moeten worden betrokken, zijn als volgt:

  • Upload een nieuw secundair certificaat.

  • Informeer de partners die gebruikmaken van de service van de aanstaande wijziging. Partners moeten hun certificaatconfiguratie bijwerken voor hun relying party's (bijvoorbeeld een vingerafdruk van het certificaat dat is geconfigureerd in web.config onder het knooppunt TrustedIssuers in een ASP.NET-webtoepassing)

  • Schakel ondertekening over naar het nieuwe certificaat (markeer het primaire certificaat) terwijl u de vorige voor een redelijke respijtperiode laat staan.

  • Nadat de respijtperiode is beëindigd, verwijdert u het oude certificaat. 

Wanneer een certificaat of sleutel verloopt, mislukken pogingen van ACS om tokens uit te geven en kan de relying party-toepassing niet goed werken. ACS negeert verlopen certificaten en sleutels, wat resulteert in dezelfde uitzonderingen die worden gegenereerd als er ooit geen certificaat of sleutel is geconfigureerd.

In de volgende secties vindt u informatie over het beheren van certificaten en sleutels die DOOR ACS worden gebruikt, hoe u deze kunt vernieuwen en hoe u certificaten en sleutels identificeert die bijna verlopen zijn of zijn verlopen.

  • Als u certificaten en sleutels voor Access Control naamruimten en relying party-toepassingen wilt beheren, gebruikt u de pagina Certificaten en sleutels van de ACS-beheerportal. Zie Certificaten en sleutels voor meer informatie over deze referentietypen.

  • Als u referenties (certificaten, sleutels of wachtwoorden) van service-id's wilt beheren, gebruikt u de pagina Service-identiteiten van de ACS-beheerportal. Zie Service-identiteiten voor meer informatie over service-identiteiten.

  • Als u referenties (certificaten, sleutels of wachtwoorden) van ACS Management Service-accounts wilt beheren, gebruikt u de pagina Beheerservice van de ACS-beheerportal. Zie ACS Management Service voor meer informatie over de ACS-beheerservice.

  • Als u certificaten voor WS-Federation id-providers, zoals AD FS 2.0, wilt beheren, gebruikt u de pagina Id-providers in de ACS-beheerportal. Zie WS-Federation id-providercertificaat en WS-Federation Identity Providers voor meer informatie.

    Gebruik de ACS Management Service om certificaten en sleutels van WS-Federation id-provider programmatisch weer te geven en bij te werken. Als u de effectieve datums van een certificaat wilt controleren, voert u een query uit op de waarden van de eigenschappen StartDate en EndDate van de entiteit IdentityProviderKey . Download voor meer informatie het codevoorbeeld KeyManagement, Codevoorbeeld: Sleutelbeheer.

Wanneer u een token aanvraagt dat is ondertekend door een verlopen certificaat of sleutel, genereert ACS uitzonderingen met ACS-foutcodes die specifiek zijn voor het certificaat of de sleutel. Raadpleeg de onderstaande secties voor specifieke foutcodes.

Beschikbare certificaten en sleutels

De volgende lijst bevat de beschikbare certificaten en sleutels die worden gebruikt in ACS en moeten worden bijgehouden voor vervaldatums:

Belangrijk

Zie het specifieke certificaat, de referentie- of sleutelsectie in dit onderwerp voor foutberichten en het verlengingsproces.

  • Certificaten voor tokenondertekening

  • Tokenondertekeningssleutels

  • Tokenversleutelingscertificaten

  • Certificaten voor tokenontsleuteling

  • Referenties voor service-identiteit

  • Referenties voor ACS Management-serviceaccount

  • WS-Federation-ondertekenings- en versleutelingscertificaten van id-provider

De rest van dit onderwerp behandelt elk certificaat en elke sleutel in detail.

Certificaten voor tokenondertekening

ACS ondertekent alle beveiligingstokens die worden veroorzaakt. Er worden X.509-certificaten gebruikt om SAML-tokens voor toepassingen te ondertekenen.

Wanneer een handtekeningcertificaat is verlopen, retourneert ACS de volgende fouten wanneer u een token aanvraagt:

Foutcode Bericht Remedie

ACS50004

Er is geen primair X.509-handtekeningcertificaat geconfigureerd. Er is een handtekeningcertificaat vereist voor SAML.

Als de gekozen relying party SAML-tokens gebruikt, moet u ervoor zorgen dat een geldig X.509-certificaat is geconfigureerd voor de relying party of de Access Control naamruimte. Het certificaat moet zijn ingesteld op primair en mag niet verlopen zijn.

Een handtekeningcertificaat vernieuwen:

  1. Ga naar de Microsoft Azure-beheerportal (https://manage.WindowsAzure.com), meld u aan en klik vervolgens op Active Directory. (Tip voor probleemoplossing: Item 'Active Directory' ontbreekt of is niet beschikbaar)

  2. Als u een Access Control naamruimte wilt beheren, selecteert u de naamruimte en klikt u op Beheren. (Of klik op Access Control naamruimten, selecteer de naamruimte en klik vervolgens op Beheren.)

  3. Klik op Certificaten en sleutels.

  4. Selecteer een certificaat met de status Bijna verlopen of Verlopen.

    Notitie

    In de sectie Certificaten en sleutels worden certificaten en sleutels voor de Access Control naamruimte gelabeld als servicenaamruimte.

  5. Voer een certificaat in of genereer dit indien nodig.

  6. Werk de ingangsdatums en vervaldatums bij.

  7. Klik op Opslaan om te voltooien.

Sleutel voor tokenondertekening

ACS ondertekent alle beveiligingstokens die worden veroorzaakt. ACS maakt gebruik van 256-bits symmetrische ondertekeningssleutels voor toepassingen die GEBRUIKMAKEN van SWT-tokens die zijn uitgegeven door ACS.

Wanneer ondertekeningssleutels verlopen, retourneert ACS de volgende fouten wanneer u een token aanvraagt:

Foutcode Bericht Remedie

ACS50003

Er is geen primaire symmetrische ondertekeningssleutel geconfigureerd. Er is een symmetrische ondertekeningssleutel vereist voor SWT.

Als de gekozen relying party SWT als tokentype gebruikt, moet u ervoor zorgen dat een symmetrische sleutel is geconfigureerd voor de relying party of de Access Control naamruimte en dat de sleutel is ingesteld op primair en niet is verlopen.

Een ondertekeningssleutel vernieuwen:

  1. Ga naar de Microsoft Azure-beheerportal (https://manage.WindowsAzure.com), meld u aan en klik vervolgens op Active Directory. (Tip voor probleemoplossing: Item 'Active Directory' ontbreekt of is niet beschikbaar)

  2. Als u een Access Control naamruimte wilt beheren, selecteert u de naamruimte en klikt u op Beheren. (Of klik op Access Control naamruimten, selecteer de naamruimte en klik vervolgens op Beheren.)

  3. Klik op Certificaten en sleutels.

  4. Selecteer een sleutel met de status Bijna verlopen of Verlopen.

    Notitie

    In de sectie Certificaten en sleutels worden certificaten en sleutels voor de Access Control naamruimte gelabeld als servicenaamruimte.

  5. Voer een sleutel in of genereer deze indien nodig.

  6. Werk de ingangsdatums en vervaldatums bij.

  7. Klik op Opslaan om te voltooien.

Tokenversleutelingscertificaten

Tokenversleuteling is vereist wanneer een relying party-toepassing een webservice is die gebruik maakt van proof-of-possession-tokens via het WS-Trust protocol. In andere gevallen is tokenversleuteling optioneel.

Wanneer versleutelingscertificaten verlopen, retourneert ACS de volgende fouten wanneer u een token aanvraagt:

Foutcode Bericht Remedie

ACS50005

Tokenversleuteling is vereist, maar er is geen versleutelingscertificaat geconfigureerd voor de relying party.

Schakel tokenversleuteling uit voor de gekozen relying party of upload een X.509-certificaat dat moet worden gebruikt voor tokenversleuteling.

Een versleutelingscertificaat vernieuwen:

  1. Ga naar de Microsoft Azure-beheerportal (https://manage.WindowsAzure.com), meld u aan en klik vervolgens op Active Directory. (Tip voor probleemoplossing: Item 'Active Directory' ontbreekt of is niet beschikbaar)

  2. Als u een Access Control naamruimte wilt beheren, selecteert u de naamruimte en klikt u op Beheren. (Of klik op Access Control naamruimten, selecteer de naamruimte en klik vervolgens op Beheren.)

  3. Klik op Certificaten en sleutels.

  4. Selecteer een certificaat met de status Bijna verlopen of Verlopen.

    Notitie

    In de sectie Certificaten en sleutels worden certificaten en sleutels voor de Access Control naamruimte gelabeld als servicenaamruimte.

  5. Voer het nieuwe certificaatbestand in of blader naar het nieuwe certificaatbestand en voer het wachtwoord voor dat bestand in.

  6. Klik op Opslaan om te voltooien.

Certificaten voor tokenontsleuteling

ACS kan versleutelde tokens van WS-Federation id-providers accepteren, zoals AD FS 2.0. ACS maakt gebruik van een X.509-certificaat dat wordt gehost in ACS voor ontsleuteling.

Wanneer de ontsleutelingscertificaten verlopen, retourneert ACS de volgende fouten wanneer u een token aanvraagt:

Foutcode Bericht

ACS10001

Er is een fout opgetreden tijdens het verwerken van de SOAP-header.

ACS20001

Er is een fout opgetreden tijdens het verwerken van een WS-Federation aanmeldingsantwoord.

Een ontsleutelingscertificaat vernieuwen:

  1. Ga naar de Microsoft Azure-beheerportal (https://manage.WindowsAzure.com), meld u aan en klik vervolgens op Active Directory. (Tip voor probleemoplossing: Item 'Active Directory' ontbreekt of is niet beschikbaar)

  2. Als u een Access Control naamruimte wilt beheren, selecteert u de naamruimte en klikt u op Beheren. (Of klik op Access Control naamruimten, selecteer de naamruimte en klik vervolgens op Beheren.)

  3. Klik op Certificaten en sleutels.

  4. Gebruik de sectie Certificaten en sleutels in de ACS-beheerportal om certificaten of sleutels met betrekking tot Access Control naamruimten en relying party-toepassingen te beheren.

  5. Selecteer een certificaat met de status Bijna verlopen of Verlopen.

    Notitie

    In de sectie Certificaten en sleutels worden certificaten en sleutels voor de Access Control naamruimte gelabeld als servicenaamruimte.

  6. Voer het nieuwe certificaatbestand in of blader naar het nieuwe certificaatbestand en voer het wachtwoord voor dat bestand in.

  7. Klik op Opslaan om te voltooien.

Referenties voor service-identiteit

Service-identiteiten zijn referenties die globaal zijn geconfigureerd voor de Access Control naamruimte. Toepassingen of clients kunnen rechtstreeks worden geverifieerd met ACS en een token ontvangen. Een ACS-service-identiteit kan symmetrische sleutels, wachtwoorden en X.509-certificaten gebruiken. ACS genereert de volgende uitzonderingen wanneer de referenties zijn verlopen.

Referentie Foutcode Bericht Remedie

Symmetrische sleutel, wachtwoord

ACS50006

Verificatie van handtekening is mislukt. (M Details staan in het bericht.)

X.509-certificaat

ACS50016

X509Certificate met onderwerp '<Certificaatonderwerpnaam>' en vingerafdruk '<Certificaatvingerafdruk>' komt niet overeen met een geconfigureerd certificaat.

Zorg ervoor dat het aangevraagde certificaat is geüpload naar ACS.

Als u vervaldatums van symmetrische sleutels of wachtwoorden wilt controleren en bijwerken, of als u een nieuw certificaat als service-id-referenties wilt uploaden, volgt u de instructies die worden beschreven in Procedure: Service-identiteiten toevoegen met een X.509-certificaat, wachtwoord of symmetrische sleutel. Lijst met referenties voor service-id's die beschikbaar zijn op de pagina Service-identiteit bewerken .

  1. Ga naar de pagina Service-identiteiten in de ACS-beheerportal.

  2. Selecteer een service-id.

  3. Selecteer een referentie,symmetrische sleutel, wachtwoord of X.509-certificaat met de status Verlopen of Bijna verlopen .

  4. Voor een symmetrische sleutel voert u een nieuwe sleutel in of genereert u deze en voert u effectieve en vervaldatums in. Klik op Opslaan.

  5. Voer voor een wachtwoord een nieuw wachtwoord in en voer effectieve en vervaldatums in. Klik op Opslaan.

  6. Voor een X.509-certificaat voert u een nieuw certificaatbestand in of bladert u naar een nieuw certificaatbestand en klikt u op Opslaan.

Referenties voor beheerservice

De ACS Management Service is een belangrijk onderdeel van ACS waarmee u instellingen programmatisch kunt beheren en configureren in een Access Control naamruimte. Een ACS Management Service-account kan symmetrische sleutels, wachtwoorden en X.509-certificaten gebruiken. Als deze referenties zijn verlopen, genereert ACS de volgende uitzonderingen.

Referentie Foutcode Bericht Remedie

Symmetrische sleutel of wachtwoord

ACS50006

Verificatie van handtekening is mislukt. (Er zijn mogelijk meer details in het bericht.)

X.509-certificaat

ACS50016

X509Certificate met onderwerp '<Certificaatonderwerpnaam>' en vingerafdruk '<Certificaatvingerafdruk>' komt niet overeen met een geconfigureerd certificaat.

Zorg ervoor dat het aangevraagde certificaat is geüpload naar ACS.

De lijst met de referenties van het ACS Management Service-account wordt weergegeven op de pagina Beheerserviceaccount bewerken in de ACS-beheerportal.

  1. Ga naar de pagina Beheerservice in de ACS-beheerportal.

  2. Selecteer een beheerserviceaccount.

  3. Selecteer referenties, symmetrische sleutels, wachtwoorden of X.509-certificaat met de status Verlopen of Bijna verlopen.

  4. Voor een symmetrische sleutel voert u een nieuwe sleutel in of genereert u deze en voert u effectieve en vervaldatums in. Klik op Opslaan.

  5. Voer voor een wachtwoord een nieuw wachtwoord in en voer effectieve en vervaldatums in. Klik op Opslaan.

  6. Voor een X.509-certificaat voert u een nieuw certificaat in of bladert u naar een nieuw certificaat en klikt u op Opslaan.

WS-Federation-id-providercertificaat

Het document met federatiemetagegevens voor een WS-Federation id-provider bevat een vingerafdruk die het X.509-certificaat identificeert dat wordt gebruikt voor het ondertekenen van tokens voor de identificatieprovider.

Gebruik de ACS Management Service of de ACS-beheerportal om te bepalen of een WS-Federation-id-providercertificaat binnen het bereik van de ingangsdatum valt.

De ACS-beheerportal gebruiken:

  1. Meld u aan bij Azure Management Portal https://manage.WindowsAzure.com.

  2. Selecteer een Access Control naamruimte en klik vervolgens op Beheren. (Of klik op Access Control naamruimten, selecteer een Access Control naamruimte en klik vervolgens op Beheren.

  3. Klik in de ACS-beheerportal op Id-providers en selecteer vervolgens een WS-Federation id-provider.

  4. Bekijk in de sectie Certificaten voor tokenondertekening de effectieve datums en status van het certificaat van de WS-Federation id-provider.

  5. Als de status van het certificaat is verlopen of bijna verlopen, controleert u of de WS-Federation id-provider (AD FS of een aangepaste id-provider) een secundair handtekeningcertificaat heeft toegevoegd.

    Als u een URL hebt gebruikt om de federatiemetagegevens voor de WS-Federation id-provider te identificeren, selecteert u Gegevens opnieuw importeren uit WS-Federation metagegevens-URL bij het opslaan en klikt u vervolgens op Opslaan. Als u de WS-Federation metagegevens hebt geüpload als een lokaal bestand, uploadt u het nieuwe WS-Federation metagegevensbestand opnieuw en klikt u vervolgens op Opslaan.

Als ACS een token ontvangt van een id-provider die is ondertekend met een verlopen of onbekend certificaat, genereert ACS de volgende uitzonderingen.

Foutcode Bericht

ACS10001

Er is een fout opgetreden tijdens het verwerken van de SOAP-header.

ACS20001

Er is een fout opgetreden tijdens het verwerken van een WS-Federation aanmeldingsantwoord.

ACS50006

Verificatie van handtekening is mislukt. (Er zijn mogelijk meer details in het bericht.)

Zie ook

Taken

Codevoorbeeld: Sleutelbeheer

Concepten

ACS-foutcodes
ACS-richtlijnenindex
ACS Management-service
Certificaten en sleutels
Procedure: Service-identiteiten toevoegen met een X.509-certificaat, wachtwoord of symmetrische sleutel
Relying Party-toepassingen
Service-identiteiten