<Hinzufügen> von <knownCertificates>
Fügt ein X.509-Zertifikat zur Auflistung bekannter Zertifikate hinzu.
<configuration>
<system.serviceModel>
<behaviors>
<serviceBehaviors>
<behavior>
<serviceCredentials>
<issuedTokenAuthentication>
<knownCertificates>
<add>
Syntax
<knownCertificates>
<add findValue="String"
storeLocation="CurrentUser/LocalMachine"
storeName="AddressBook/AuthRoot/CertificateAuthority/Disallowed/My/Root/TrustedPeople/TrustedPublisher"
x509FindType="FindByThumbprint/FindBySubjectName/FindBySubjectDistinguishedName/FindByIssuerName/FindByIssuerDistinguishedName/FindBySerialNumber/FindByTimeValid/FindByTimeNotYetValid/FindBySerialNumber/FindByTimeExpired/FindByTemplateName/FindByApplicationPolicy/FindByCertificatePolicy/FindByExtension/FindByKeyUsage/FindBySubjectKeyIdentifier"/>
</knownCertificates>
Attribute und Elemente
In den folgenden Abschnitten werden Attribute sowie untergeordnete und übergeordnete Elemente beschrieben.
Attribute
| attribute | BESCHREIBUNG |
|---|---|
| findValue | Eine Zeichenfolge. Der zu suchende Wert. |
| storeLocation | Enumeration. Einer der beiden zu durchsuchenden Speicherorte. |
| storeName | Enumeration. Einer der zu durchsuchenden Systemspeicher. |
| x509FindType | Enumeration. Eines der zu durchsuchenden Zertifikatfelder. |
findValue-Attribut
| Wert | BESCHREIBUNG |
|---|---|
| String | Der Wert ist vom zu durchsuchenden Feld (das durch das X509FindType-Attribut angegeben wird) abhängig. Wenn Sie beispielsweise nach einem Fingerabdruck suchen, muss der Wert eine Zeichenfolge aus hexadezimalen Zahlen sein. |
x509FindType-Attribut
| Wert | BESCHREIBUNG |
|---|---|
| Enumeration | Zu den gültigen Werten gehören: FindByThumbprint, FindBySubjectName, FindBySubjectDistinguishedName, FindByIssuerName, FindByIssuerDistinguishedName, FindBySerialNumber, FindByTimeValid, FindByTimeNotYetValid, FindBySerialNumber, FindByTimeExpired, FindByTemplateName, FindByApplicationPolicy, FindByCertificatePolicy, FindByExtension, FindByKeyUsage, FindBySubjectKeyIdentifier. |
storeLocation-Attribut
| Wert | BESCHREIBUNG |
|---|---|
| Enumeration | CurrentUser oder LocalMachine. |
storeName-Attribut
| Wert | BESCHREIBUNG |
|---|---|
| Enumeration | Zu den gültigen Werten gehören: AddressBook, AuthRoot, CertificateAuthority, Disallowed, My, Root, TrustedPeople und TrustedPublisher. |
Untergeordnete Elemente
Keine
Übergeordnete Elemente
| Element | Beschreibung |
|---|---|
| <knownCertificates> | Gibt eine Auflistung von X.509-Zertifikaten wieder, die von einem Sicherheitstokendienst für die Validierung von Sicherheitstoken bereitgestellt werden. |
Bemerkungen
Das Szenario für ausgestellte Token weist drei Phasen auf. In der ersten Phase wird ein Client, der versucht, auf einen Dienst zuzugreifen, an einen Sicherheitstokendienst verwiesen. Der Sicherheitstokendienst authentifiziert den Client und stellt dann ein Token (in der Regel ein SAML-Token (SAML = Security Assertions Markup Language, XML-basierte Auszeichnungssprache für Sicherheitsbestätigungen) für den Client aus. Der Client kehrt dann mit dem Token zum Dienst zurück. Der Dienst überprüft das Token auf Daten, die ihm die Authentifizierung des Tokens und somit des Clients erlauben. Damit das Token authentifiziert werden kann, muss dem Dienst das vom Sicherheitstokendienst verwendete Zertifikat bekannt sein.
Dieses <issuedTokenAuthentication>-Element ist das Repository für solche sicheren Tokendienstzertifikate. Verwenden Sie zum Hinzufügen von Zertifikaten die <knownCertificates>. Fügen Sie ein <Hinzufügen>-Element <knownCertificates>-Element für jedes Zertifikat ein, wie im folgenden Beispiel gezeigt.
<issuedTokenAuthentication>
<knownCertificates>
<add findValue="www.contoso.com"
storeLocation="LocalMachine"
storeName="My"
X509FindType="FindBySubjectName" />
</knownCertificates>
</issuedTokenAuthentication>
Standardmäßig müssen die Zertifikate von einem Sicherheitstokendienst bezogen werden. Durch diese "bekannten" Zertifikate wird sichergestellt, dass nur berechtigte Clients auf einen Dienst zugreifen können.
Informationen zu den für die Authentifizierung eines Clients durch einen Verbunddienst erforderlichen Bedingungen sowie weitere Informationen zur Verwendung dieses Konfigurationselements finden Sie unter Konfigurieren von Anmeldeinformationen in einem Verbunddienst. Weitere Informationen zu Verbundszenarios finden Sie unter Partnerverbund und ausgestellten Token.
Beispiel
Im folgenden Beispiel wird ein Zertifikat dem Repository für beliebige STS-Zertifikate hinzugefügt.
<serviceBehaviors>
<behavior name="myServiceBehavior">
<serviceCredentials>
<issuedTokenAuthentication>
<knownCertificates>
<add findValue="www.contoso.com"
storeLocation="LocalMachine"
storeName="CertificateAuthority"
x509FindType="FindByIssuerName" />
</knownCertificates>
</issuedTokenAuthentication>
</serviceCredentials>
</behavior>
</serviceBehaviors>
Siehe auch
- SamlSecurityTokenAuthenticator
- AllowedAudienceUris
- AudienceUriMode
- KnownCertificates
- X509CertificateTrustedIssuerElementCollection
- X509CertificateTrustedIssuerElement
- KnownCertificates
- <knownCertificates>
- Verwenden von Zertifikaten
- Verbund und ausgestellte Token
- Vorgehensweise: Konfigurieren von Anmeldeinformationen auf einem Verbunddienst
- Sichern von Diensten und Clients
