<add> для <knownCertificates>
Добавляет сертификат X.509 в коллекцию известных сертификатов.
Иерархия схемы
<system.serviceModel>
<варианты поведения>
<serviceBehaviors>
<behavior> для <serviceBehaviors>
<serviceCredentials>
<issuedTokenAuthentication> для <serviceCredentials>
<knownCertificates>
<add> для <knownCertificates>
Синтаксис
<knownCertificates>
<add findValue="String"
storeLocation="CurrentUser/LocalMachine"
storeName="AddressBook/AuthRoot/CertificateAuthority/Disallowed/My/Root/TrustedPeople/TrustedPublisher"
x509FindType="FindByThumbprint/FindBySubjectName/FindBySubjectDistinguishedName/FindByIssuerName/FindByIssuerDistinguishedName/FindBySerialNumber/FindByTimeValid/FindByTimeNotYetValid/FindBySerialNumber/FindByTimeExpired/FindByTemplateName/FindByApplicationPolicy/FindByCertificatePolicy/FindByExtension/FindByKeyUsage/FindBySubjectKeyIdentifier"/>
</knownCertificates>
Атрибуты и элементы
В следующих разделах описываются атрибуты, дочерние и родительские элементы.
Атрибуты
| Атрибут | Описание |
|---|---|
findValue |
Строка. Значение, которое нужно найти. |
storeLocation |
Перечисление. Одно из двух местоположений хранилища, где следует проводить поиск. |
storeName |
Перечисление. Одно из системных хранилищ, где следует проводить поиск. |
x509FindType |
Перечисление. Одно из полей сертификата, где следует проводить поиск. |
Дочерние элементы
Нет.
Родительские элементы
| Элемент | Описание |
|---|---|
Представляет коллекцию сертификатов X.509, предоставленную службой STS для проверки маркеров безопасности. |
Замечания
В сценарии с выданным маркером имеется три этапа. На первом этапе клиент, который пытается получить доступ к службе, направляется к службе маркеров безопасности. Затем служба маркеров безопасности проводит проверку подлинности клиента и выдает клиенту маркер, обычно на языке Security Assertions Markup Language (SAML). После этого клиент возвращается к службе с этим маркером. Служба проверяет наличие в маркере данных, позволяющих проверить подлинность маркера и, соответственно, самого клиента. Для проверки подлинности маркера сертификат, используемый службой маркеров безопасности, должен быть известен службе.
Элемент <issuedTokenAuthentication> для <serviceCredentials> является хранилищем подобных сертификатов службы маркеров безопасности. Используйте элемент <knownCertificates>, чтобы добавить сертификаты. Вставьте элемент <add> для <knownCertificates> для каждого сертификата, как показано в следующем примере.
<issuedTokenAuthentication>
<knownCertificates>
<add findValue="www.contoso.com"
storeLocation="LocalMachine" storeName="My"
X509FindType="FindBySubjectName" />
</knownCertificates>
</issuedTokenAuthentication>
По умолчанию сертификаты должны быть получены от службы маркеров безопасности. Эти «известные» сертификаты гарантируют, что доступ к службе могут получить только допустимые клиенты.
Условия, соблюдение которых необходимо для подтверждения подлинности клиента федеративной службой, а также подробные сведения об использовании данного элемента конфигурации см. в разделе How to: Configure Credentials on a Federation Service. Дополнительные сведения о федеративных сценариях см. в разделе Federation and SAML.
Пример
В следующем примере демонстрируется добавление сертификата в хранилище сертификатов службы STS.
<serviceBehaviors>
<behavior name="myServiceBehavior">
<serviceCredentials>
<issuedTokenAuthentication>
<knownCertificates>
<add findValue="www.contoso.com" storeLocation="LocalMachine"
storeName="CertificateAuthority"
x509FindType="FindByIssuerName" />
</knownCertificates>
</issuedTokenAuthentication>
</serviceCredentials>
</behavior>
</serviceBehaviors>
См. также
Справочник
<knownCertificates>
SamlSecurityTokenAuthenticator
AllowedAudienceUris
AudienceUriMode
KnownCertificates
X509CertificateTrustedIssuerElementCollection
X509CertificateTrustedIssuerElement
KnownCertificates
Другие ресурсы
Working with Certificates
Federation and SAML
How to: Configure Credentials on a Federation Service
Securing Services and Clients