<добавление> известныхсертификатов <>
Добавляет сертификат X.509 в коллекцию известных сертификатов.
<Конфигурации>
<system.serviceModel>
<Поведения>
<serviceBehaviors>
<Поведение>
<serviceCredentials>
<issuedTokenAuthentication>
<knownCertificates>
<Добавить>
Синтаксис
<knownCertificates>
<add findValue="String"
storeLocation="CurrentUser/LocalMachine"
storeName="AddressBook/AuthRoot/CertificateAuthority/Disallowed/My/Root/TrustedPeople/TrustedPublisher"
x509FindType="FindByThumbprint/FindBySubjectName/FindBySubjectDistinguishedName/FindByIssuerName/FindByIssuerDistinguishedName/FindBySerialNumber/FindByTimeValid/FindByTimeNotYetValid/FindBySerialNumber/FindByTimeExpired/FindByTemplateName/FindByApplicationPolicy/FindByCertificatePolicy/FindByExtension/FindByKeyUsage/FindBySubjectKeyIdentifier"/>
</knownCertificates>
Атрибуты и элементы
В следующих разделах описаны атрибуты, дочерние и родительские элементы.
Атрибуты
| Атрибут | Описание |
|---|---|
| findValue | Строка. Значение, которое нужно найти. |
| storeLocation | Перечисление. Одно из двух местоположений хранилища, где следует проводить поиск. |
| storeName | Перечисление. Одно из системных хранилищ, где следует проводить поиск. |
| x509FindType | Перечисление. Одно из полей сертификата, где следует проводить поиск. |
Атрибут findValue
| Значение | Описание |
|---|---|
| Строка | Значение зависит от поля (заданного атрибутом x509FindType), поиск которого выполняется. Например, при поиске отпечатка значение должно быть строкой шестнадцатеричных чисел. |
Атрибут x509FindType
| Значение | Описание |
|---|---|
| Перечисление | К числу значений относятся следующие: FindByThumbprint, FindBySubjectName, FindBySubjectDistinguishedName, FindByIssuerName, FindByIssuerDistinguishedName, FindBySerialNumber, FindByTimeValid, FindByTimeNotYetValid, FindBySerialNumber, FindByTimeExpired, FindByTemplateName, FindByApplicationPolicy, FindByCertificatePolicy, FindByExtension, FindByKeyUsage, FindBySubjectKeyIdentifier. |
Атрибут storeLocation
| Значение | Описание |
|---|---|
| Перечисление | CurrentUser или LocalMachine. |
Атрибут storeName
| Значение | Описание |
|---|---|
| Перечисление | К числу значений относятся следующие: AddressBook, AuthRoot, CertificateAuthority, Disallowed, My, Root, TrustedPeople и TrustedPublisher. |
Дочерние элементы
Отсутствует.
Родительские элементы
| Элемент | Описание |
|---|---|
| <knownCertificates> | Представляет коллекцию сертификатов X.509, предоставленную службой STS для проверки маркеров безопасности. |
Комментарии
В сценарии с выданным маркером имеется три этапа. На первом этапе клиент, пытающийся получить доступ к службе, ссылается на службу безопасных маркеров. Затем служба маркеров безопасности проводит проверку подлинности клиента и выдает клиенту маркер, обычно на языке Security Assertions Markup Language (SAML). После этого клиент возвращается к службе с этим маркером. Служба проверяет наличие в маркере данных, позволяющих проверить подлинность маркера и, соответственно, самого клиента. Для проверки подлинности маркера сертификат, используемый службой маркеров безопасности, должен быть известен службе.
Элемент <issuedTokenAuthentication> является репозиторием для всех таких сертификатов службы маркеров безопасности. Чтобы добавить сертификаты, используйте известные< сертификаты>. Вставьте элемент <add>, известныйCertificates<> Element, для каждого сертификата, как показано в следующем примере.
<issuedTokenAuthentication>
<knownCertificates>
<add findValue="www.contoso.com"
storeLocation="LocalMachine"
storeName="My"
X509FindType="FindBySubjectName" />
</knownCertificates>
</issuedTokenAuthentication>
По умолчанию сертификаты должны быть получены от службы маркеров безопасности. Эти "известные" сертификаты гарантируют, что доступ к службе могут получить только допустимые клиенты.
Чтобы просмотреть условия, необходимые для проверки подлинности клиента в федеративной службе, а также дополнительные сведения об использовании этого элемента конфигурации, см. раздел How to: Configure Credentials on a Federation Service. Дополнительные сведения о федеративных сценариях см. в статье Федерация и выданные маркеры.
Пример
В следующем примере демонстрируется добавление сертификата в хранилище сертификатов службы STS.
<serviceBehaviors>
<behavior name="myServiceBehavior">
<serviceCredentials>
<issuedTokenAuthentication>
<knownCertificates>
<add findValue="www.contoso.com"
storeLocation="LocalMachine"
storeName="CertificateAuthority"
x509FindType="FindByIssuerName" />
</knownCertificates>
</issuedTokenAuthentication>
</serviceCredentials>
</behavior>
</serviceBehaviors>
См. также раздел
- SamlSecurityTokenAuthenticator
- AllowedAudienceUris
- AudienceUriMode
- KnownCertificates
- X509CertificateTrustedIssuerElementCollection
- X509CertificateTrustedIssuerElement
- KnownCertificates
- <knownCertificates>
- Работа с сертификатами
- Федерация и выданные маркеры
- Практическое руководство. Настройка учетных данных службы федерации
- Защита служб и клиентов
