Рекомендации по управлению сертификатами и ключами

Применяется к

  • Microsoft Azure Active Directory Access Control (также называется Access Control Service или ACS)

Сводка

В этом разделе описываются рекомендации по использованию сертификатов и ключей в ACS. Так как срок действия сертификатов и ключей истекает по проектированию, важно отслеживать даты окончания срока действия и принимать соответствующие меры до истечения срока действия, чтобы приложения, использующие ACS, продолжали работать должным образом без прерываний.

Важно!

Отслеживайте срок действия и обновляйте сертификаты, ключи и пароли, используемые пространством имен контроль доступа, приложениями проверяющей стороны, удостоверениями служб и учетной записью службы управления ACS.

Задачи

  • Перечислить сертификаты и ключи, срок действия которых требуется отслеживать.

  • Описать процедуры продления сертификатов и ключей.

    Важно!

    См. в разделах для сертификатов, учетных данных или ключей в этой статье сообщения об ошибках и процедуру продления.

Обзор

Поскольку срок действия сертификатов гарантированно завершается, рекомендуется отправлять новый сертификат задолго до окончания срока действия текущего. Соответствующая высокоуровневая процедура выглядит следующим образом:

  • Отправка нового дополнительного сертификата.

  • Уведомление партнеров, использующих службу, о приближающемся изменении. Партнерам следует обновить конфигурацию сертификатов у своих проверяющих сторон (например, отпечаток сертификата, указанный в узле trustedIssuers файла web.config веб-приложения ASP.NET).

  • Перевод подписывания на новый сертификат (пометив его как основной). При этом предыдущий сертификат следует оставить на месте в течение периода отсрочки достаточной продолжительности.

  • После окончания льготного периода удалите старый сертификат. 

Когда срок действия сертификата или ключа истекает, попытки ACS выдать маркеры завершаются ошибкой, и приложение проверяющей стороны не может работать должным образом. ACS игнорирует просроченные сертификаты и ключи, что приводит к тем же исключениям, которые будут возникать, если сертификат или ключ никогда не настроен.

В следующих разделах содержатся сведения об управлении сертификатами и ключами, которые используются ACS, их продлении и определении сертификатов и ключей, срок действия которых истек или истек.

  • Чтобы управлять сертификатами и ключами для контроль доступа пространства имен и приложений проверяющей стороны, используйте страницу "Сертификаты и ключи" на портале управления ACS. Дополнительные сведения об этих типах учетных данных см. в разделе "Сертификаты и ключи".

  • Чтобы управлять учетными данными (сертификатами, ключами или паролями) удостоверений служб, используйте страницу удостоверений службы на портале управления ACS. Дополнительные сведения об удостоверениях служб см. в разделе " Удостоверения служб".

  • Чтобы управлять учетными данными (сертификатами, ключами или паролями) учетных записей службы управления ACS, используйте страницу "Служба управления" на портале управления ACS. Дополнительные сведения о службе управления ACS см. в разделе "Служба управления ACS".

  • Чтобы управлять сертификатами для поставщиков удостоверений WS-Federation, например AD FS 2.0, следует использовать страницу Поставщики удостоверений на портале управления ACS. Дополнительные сведения см. в разделе WS-Federation сертификат поставщика удостоверений и поставщики удостоверений WS-Federation.

    Чтобы просматривать и обновлять сертификаты и ключи поставщика удостоверений WS-Federation программным способом, используйте службу управления ACS. Чтобы проверить действующие даты сертификата, запросите значения свойств StartDate и EndDate сущности IdentityProviderKey . Для получения дополнительных сведений скачайте пример кода KeyManagement, пример кода: управление ключами.

При запросе маркера, подписанного сертификатом или ключом с истекшим сроком действия, ACS создает исключения, имеющие коды ошибок ACS , относящиеся к сертификату или ключу. Конкретные коды ошибок см. в разделе ниже.

Доступные сертификаты и ключи

В следующем списке отображаются доступные сертификаты и ключи, используемые в ACS, и их необходимо отслеживать для дат окончания срока действия.

Важно!

См. в разделах для сертификатов, учетных данных или ключей в этой статье сообщения об ошибках и процедуру продления.

  • Сертификаты подписи токенов

  • Ключи для подписи токенов

  • Сертификаты для шифрования токенов

  • Сертификаты для расшифровки токенов

  • Учетные данные удостоверения службы

  • Учетные данные учетной записи службы управления ACS

  • Сертификаты для подписи и шифрования поставщика удостоверений WS-Federation

В остальной части раздела подробно рассматриваются эти сертификаты и ключи.

Сертификаты подписи токенов

ACS подписывает все маркеры безопасности, которые он выдает. Он использует сертификаты X.509 для подписывания токенов SAML для приложений.

Когда срок действия сертификата истекает, ACS возвращает следующие ошибки при запросе токена:

Код ошибки Сообщение Средство

ACS50004

Не настроен основной сертификат подписи X.509. Он необходим для SAML.

Если выбранная проверяющая сторона использует токены SAML, убедитесь, что для проверяющей стороны или пространства имен контроль доступа настроен действительный сертификат X.509. Сертификат следует сделать основным; он также не должен быть истекшим.

Чтобы продлить сертификат подписи:

  1. Перейдите на портал управления Microsoft Azure (https://manage.WindowsAzure.com), войдите в систему и щелкните Active Directory. (Совет по устранению неполадок: элемент Active Directory отсутствует или недоступен)

  2. Для выполнения управления пространством имен Access Control выберите пространство имен и щелкните Управление. (Или щелкните Пространства имен Access Control, выберите пространство имен, а затем щелкните Управление.)

  3. Щелкните Сертификаты и ключи.

  4. Выберите сертификат с состоянием Почти просрочен или Просрочен.

    Примечание

    В разделе "Сертификаты и ключи" сертификаты и ключи для пространства имен контроль доступа помечены пространством имен службы.

  5. Введите или создайте сертификат.

  6. Обновите даты Действует до и Истечение срока действия.

  7. Нажмите кнопку Сохранить.

Ключ для подписи токенов

ACS подписывает все маркеры безопасности, которые он выдает. ACS использует 256-разрядные симметричные ключи подписывания для приложений, которые используют токены SWT, выданные ACS.

Когда срок действия ключей истекает, ACS возвращает следующие ошибки при запросе токена:

Код ошибки Сообщение Средство

ACS50003

Не настроен основной симметричный ключ подписывания. Он необходим для SWT.

Если выбранная проверяющая сторона использует SWT в качестве своего типа токена, убедитесь, что симметричный ключ настроен для проверяющей стороны или пространства имен контроль доступа, а ключ установлен в качестве первичного и не истек.

Чтобы продлить ключ подписи:

  1. Перейдите на портал управления Microsoft Azure (https://manage.WindowsAzure.com), войдите в систему и щелкните Active Directory. (Совет по устранению неполадок: элемент Active Directory отсутствует или недоступен)

  2. Для выполнения управления пространством имен Access Control выберите пространство имен и щелкните Управление. (Или щелкните Пространства имен Access Control, выберите пространство имен, а затем щелкните Управление.)

  3. Щелкните Сертификаты и ключи.

  4. Выберите ключ с состоянием Почти просрочен или Просрочен.

    Примечание

    В разделе "Сертификаты и ключи" сертификаты и ключи для пространства имен контроль доступа помечены пространством имен службы.

  5. Введите или создайте ключ.

  6. Обновите даты Действует до и Истечение срока действия.

  7. Нажмите кнопку Сохранить.

Сертификаты для шифрования токенов

Шифрование маркеров следует использовать, если приложение проверяющей стороны — это веб-служба, использующая маркеры подтверждения владения по протоколу WS-Trust. В других случаях шифрование необязательно.

Когда срок действия сертификатов шифрования истекает, ACS возвращает следующие ошибки при запросе токена:

Код ошибки Сообщение Средство

ACS50005

Требуется использовать шифрование токенов, но не настроен сертификат шифрования для проверяющей стороны.

Отключите шифрование токенов для выбранной проверяющей стороны или отправьте сертификат X.509 для шифрования токенов.

Продление сертификата шифрования:

  1. Перейдите на портал управления Microsoft Azure (https://manage.WindowsAzure.com), войдите в систему и щелкните Active Directory. (Совет по устранению неполадок: элемент Active Directory отсутствует или недоступен)

  2. Для выполнения управления пространством имен Access Control выберите пространство имен и щелкните Управление. (Или щелкните Пространства имен Access Control, выберите пространство имен, а затем щелкните Управление.)

  3. Щелкните Сертификаты и ключи.

  4. Выберите сертификат с состоянием Почти просрочен или Просрочен.

    Примечание

    В разделе "Сертификаты и ключи" сертификаты и ключи для пространства имен контроль доступа помечены пространством имен службы.

  5. Введите или перейдите к новому файлу сертификата, а затем введите пароль для этого файла.

  6. Нажмите кнопку Сохранить.

Сертификаты для расшифровки токенов

ACS может принимать зашифрованные маркеры от поставщиков удостоверений WS-Federation, таких как AD FS 2.0. ACS использует сертификат X.509, размещенный в ACS для расшифровки.

Когда срок действия сертификатов расшифровки истекает, ACS возвращает следующие ошибки при запросе токена:

Код ошибки Сообщение

ACS10001

Произошла ошибка при обработке заголовка SOAP.

ACS20001

Произошла ошибка при обработке ответа входа WS-Federation.

Чтобы продлить сертификат расшифровки:

  1. Перейдите на портал управления Microsoft Azure (https://manage.WindowsAzure.com), войдите в систему и щелкните Active Directory. (Совет по устранению неполадок: элемент Active Directory отсутствует или недоступен)

  2. Для выполнения управления пространством имен Access Control выберите пространство имен и щелкните Управление. (Или щелкните Пространства имен Access Control, выберите пространство имен, а затем щелкните Управление.)

  3. Щелкните Сертификаты и ключи.

  4. Используйте раздел "Сертификаты и ключи" на портале управления ACS для управления сертификатами или ключами, связанными с контроль доступа пространствами имен и приложениями проверяющей стороны.

  5. Выберите сертификат с состоянием Почти просрочен или Просрочен.

    Примечание

    В разделе "Сертификаты и ключи" сертификаты и ключи для пространства имен контроль доступа помечены пространством имен службы.

  6. Укажите новый файл сертификата или перейдите к нему, а затем введите пароль для этого файла.

  7. Нажмите кнопку Сохранить.

Учетные данные удостоверения службы

Удостоверения службы — это учетные данные, настроенные глобально для пространства имен контроль доступа. Они позволяют приложениям или клиентам выполнять проверку подлинности напрямую с помощью ACS и получать маркер. Удостоверение службы ACS может использоваться симметричными ключами, паролями и сертификатами X.509. ACS создает следующие исключения при истечении срока действия учетных данных.

Учетные данные Код ошибки Сообщение Средство

Симметричный ключ, пароль

ACS50006

Ошибка проверки подписи. (Подробности указаны в сообщении.)

Сертификат X.509

ACS50016

X509Certificate с субъектом "<Имя> субъекта сертификата" и отпечатком "<Отпечаток> сертификата" не соответствует ни одному настроенному сертификату.

Убедитесь, что запрошенный сертификат отправлен в ACS.

Чтобы проверить и обновить даты окончания срока действия симметричного ключа или пароля, а также передать новый сертификат в качестве учетных данных удостоверения службы, выполните инструкции, описанные в разделе "Практическое руководство. Добавление удостоверений службы с сертификатом X.509, паролем или симметричным ключом". Список учетных данных удостоверений службы доступен на странице Изменение удостоверения службы.

  1. Перейдите на страницу удостоверений служб на портале управления ACS.

  2. Выберите удостоверение службы.

  3. Выберите учетные данные, симметричный ключ, пароль или сертификат X.509 с состоянием Истек срок действия or Почти истек срок действия.

  4. В случае симметричного ключа введите или создайте новый ключ и введите даты Действует до и Истечение срока действия. Выберите команду Сохранить.

  5. В случае пароля введите новый пароль и введите даты Действует до и Истечение срока действия. Выберите команду Сохранить.

  6. В случае сертификата X.509 введите или выберите новый файл сертификата и затем щелкните Сохранить.

Учетные данные службы управления

Служба управления ACS является ключевым компонентом ACS, который позволяет программно управлять параметрами в пространстве имен контроль доступа и настраивать их. Учетная запись службы управления ACS может использовать симметричные ключи, пароли и сертификаты X.509. Если срок действия этих учетных данных истек, СЛУЖБА ACS выдает следующие исключения.

Учетные данные Код ошибки Сообщение Средство

Симметричный ключ или пароль

ACS50006

Ошибка проверки подписи. (Подробности указаны в сообщении.)

Сертификат X.509

ACS50016

X509Certificate с субъектом "<Имя> субъекта сертификата" и отпечатком "<Отпечаток> сертификата" не соответствует ни одному настроенному сертификату.

Убедитесь, что запрошенный сертификат отправлен в ACS.

Список учетных данных учетной записи службы управления ACS отображается на странице "Изменение учетной записи службы управления" на портале управления ACS.

  1. Перейдите на страницу службы управления на портале управления ACS.

  2. Выберите учетную запись службы управления.

  3. Выберите учетные данные, симметричные ключи, пароли или сертификат X.509 с состоянием "Истек срок действия" или "Истек срок действия".

  4. Для симметричного ключа введите или создайте новый ключ и введите даты вступления в силу и окончания срока действия . Выберите команду Сохранить.

  5. В случае пароля введите новый пароль и введите даты Действует до и Истечение срока действия. Выберите команду Сохранить.

  6. В случае сертификата X.509 введите или выберите новый файл сертификата и затем щелкните Сохранить.

Сертификат поставщика удостоверений WS-Federation

Документ метаданных федерации для поставщика удостоверений WS-Federation содержит отпечаток сертификата X.509, используемого для подписи токенов поставщика.

Чтобы определить, находится ли сертификат поставщика удостоверений WS-Federation в диапазоне его действующих дат, используйте службу управления ACS или портал управления ACS.

Использование портала управления ACS

  1. Войдите на портал https://manage.WindowsAzure.comуправления Azure.

  2. Выберите пространство имен Access Control, а затем щелкните Управление. (Или щелкните Пространства имен Access Control, выберите пространство имен Access Control, а затем щелкните Управление.)

  3. На портале ACS щелкните Поставщики удостоверений, а затем выберите поставщик удостоверений WS-Federation.

  4. В разделе Сертификаты подписи токенов просмотрите даты действия и Состояние сертификата поставщика удостоверений WS-Federation.

  5. Если состояние сертификата — Истек срок действия или Почти истек срок действия, убедитесь, что поставщик удостоверений WS-Federation (AD FS или настраиваемый поставщика удостоверений) добавил дополнительный сертификат подписи.

    Если используется URL-адрес для идентификации метаданных федерации поставщика удостоверений WS-Federation, выберите команду Импортировать данные с URL-адреса метаданных WS-Federation при сохранении, а затем щелкните Сохранить. Если вы отправили метаданные WS-Federation как локальный файл, повторно отправьте новые метаданные WS-Federation и нажмите Сохранить.

Если ACS получает токена от поставщика удостоверений, подписанный просроченным или неизвестным сертификатом, ACS создает следующие исключения.

Код ошибки Сообщение

ACS10001

Произошла ошибка при обработке заголовка SOAP.

ACS20001

Произошла ошибка при обработке ответа входа WS-Federation.

ACS50006

Ошибка проверки подписи. (Подробности указаны в сообщении.)

См. также:

Задания

Пример кода: управление ключами

Основные понятия

Коды ошибок ACS
Указатель рекомендаций для ACS
Служба управления ACS
Сертификаты и ключи
Практическое руководство. Добавление удостоверений служб с помощью сертификата X.509, пароля или симметричного ключа
Приложения проверяющей стороны
Удостоверения службы