Verwaltungsrichtlinien für Zertifikate und Schlüssel

  • Artikel

Gilt für

  • Zugriffssteuerung für Microsoft Azure Active Directory (auch Zugriffssteuerungsdienst oder ACS)

Zusammenfassung

In diesem Thema werden die Richtlinien für die Verwendung von Zertifikaten und Schlüsseln in ACS beschrieben. Da Zertifikate und Schlüssel nach Dem Entwurf ablaufen, ist es wichtig, die Ablauftermine nachzuverfolgen und geeignete Maßnahmen vor ablaufen, damit Anwendungen, die ACS verwenden, ohne Unterbrechung ordnungsgemäß funktionieren.

Wichtig

Nachverfolgen von Ablauf- und Verlängerungszertifikaten, Schlüsseln und Kennwörtern, die vom Access Control Namespace, anwendungen vertrauenden Parteien, Dienstidentitäten und dem ACS Management Service-Konto verwendet werden.

Ziele

  • Auflisten der Zertifikate und Schlüssel, deren Ablaufdatum überwacht werden muss.

  • Beschreiben der Erneuerungsverfahren für Zertifikate und Schlüssel.

    Wichtig

    Informationen zu Fehlermeldungen und zum Erneuerungsprozess finden Sie im Abschnitt zu den bestimmten Zertifikaten, Schlüsseln oder Anmeldeinformationen.

Übersicht

Da Zertifikate mit Sicherheit ablaufen, besteht ein bewährtes Verfahren im Hochladen eines neuen Zertifikats längere Zeit vor dem Ablauf des aktuellen Zertifikats. Die dabei allgemein auszuführenden Schritte sind wie folgt:

  • Hochladen eines neuen sekundären Zertifikats.

  • Benachrichtigen der Partner, die den Dienst verwenden, über die anstehende Änderung. Partner sollten ihre Zertifikatkonfiguration für ihre vertrauenden Seiten (z. B. einen Fingerabdruck des Zertifikats, das in der Datei web.config unter dem Knoten trustedIssuers in einer ASP.NET-Webanwendung konfiguriert ist) aktualisieren.

  • Umstellen der Signierung auf das neue Zertifikat (Markierung als Primärzertifikat), während das alte Zertifikat für eine vertretbare Karenzzeit aktiv bleibt.

  • Entfernen Sie nach Ablauf der Nachfrist das alte Zertifikat. 

Wenn ein Zertifikat oder ein Schlüssel abläuft, schlägt acS vor, Token auszugeben, und die Anwendung der vertrauenden Partei kann nicht ordnungsgemäß funktionieren. ACS ignoriert abgelaufene Zertifikate und Schlüssel, was zu den gleichen Ausnahmen führt, die ausgelöst werden würden, wenn kein Zertifikat oder kein Schlüssel jemals konfiguriert wurde.

In den folgenden Abschnitten finden Sie Informationen zum Verwalten von Zertifikaten und Schlüsseln, die ACS verwendet, wie sie verlängert werden und wie Sie Zertifikate und Schlüssel identifizieren, die in der Nähe ablaufen oder abgelaufen sind.

  • Verwenden Sie die Seite "Zertifikate und Schlüssel" des ACS-Verwaltungsportals, um Zertifikate und Schlüssel für Access Control Namespaces und Anwendungen von vertrauenden Parteien zu verwalten. Weitere Informationen zu diesen Anmeldeinformationentypen finden Sie unter "Zertifikate und Schlüssel".

  • Verwenden Sie die Seite "Dienstidentitäten " des ACS-Verwaltungsportals, um Anmeldeinformationen (Zertifikate, Schlüssel oder Kennwörter) von Dienstidentitäten zu verwalten. Weitere Informationen zu Dienstidentitäten finden Sie unter "Dienstidentitäten".

  • Verwenden Sie die Seite "Verwaltungsdienst " des ACS-Verwaltungsportals, um Anmeldeinformationen (Zertifikate, Schlüssel oder Kennwörter) von ACS-Verwaltungsdienstkonten zu verwalten. Weitere Informationen zum ACS-Verwaltungsdienst finden Sie im ACS-Verwaltungsdienst.

  • Verwenden Sie die Seite Identitätsanbieter im ACS- Verwaltungsportal, um Zertifikate für WS-Verbundidentitätsanbieter wie AD FS 2.0 zu verwalten. Weitere Informationen finden Sie unter WS-Federation Identitätsanbieterzertifikat und WS-Verbundidentitätsanbieter.

    Verwenden Sie den ACS-Verwaltungsdienst, um WS-Federation Identitätsanbieterzertifikate und Schlüssel programmgesteuert anzuzeigen und zu aktualisieren. Um die effektiven Datumsangaben eines Zertifikats zu überprüfen, abfragen Sie die Werte der StartDate- und EndDate-Eigenschaften der IdentityProviderKey-Entität. Weitere Informationen finden Sie im KeyManagement-Codebeispiel: Codebeispiel: Schlüsselverwaltung.

Wenn Sie ein Token anfordern, das von einem abgelaufenen Zertifikat oder Schlüssel signiert wird, löst ACS Ausnahmen aus, die spezifisch für das Zertifikat oder den Schlüssel sind. Weitere Informationen zu den einzelnen Fehlercodes finden Sie in den folgenden Abschnitten.

Verfügbare Zertifikate und Schlüssel

In der folgenden Liste werden die verfügbaren Zertifikate und Schlüssel angezeigt, die in ACS verwendet werden und für Ablauftermine nachverfolgt werden müssen:

Wichtig

Informationen zu Fehlermeldungen und zum Erneuerungsprozess finden Sie im Abschnitt zu den bestimmten Zertifikaten, Schlüsseln oder Anmeldeinformationen.

  • Token-Signaturzertifikate

  • Tokensignaturschlüssel

  • Tokenverschlüsselungszertifikate

  • Tokenentschlüsselungszertifikate

  • Dienstidentitätsanmeldeinformationen

  • ACS Management Service-Kontoanmeldeinformationen

  • Signatur- und Verschlüsselungszertifikate des WS-Verbundidentitätsanbieters

Im weiteren Verlauf dieses Themas werden alle Zertifikate und Schlüssel im Detail erläutert.

Token-Signaturzertifikate

ACS signiert alle Sicherheitstoken, die es gibt. Er verwendet X.509-Zertifikate, um SAML-Token für Anwendungen zu signieren.

Wenn ein Signaturzertifikat abgelaufen ist, gibt ACS die folgenden Fehler zurück, wenn Sie ein Token anfordern:

Fehlercode Nachricht Problembehandlung

ACS50004

Es ist kein primäres X.509-Signaturzertifikat konfiguriert. Für SAML ist ein Signaturzertifikat erforderlich.

Wenn die ausgewählte vertrauende Partei SAML-Token verwendet, stellen Sie sicher, dass ein gültiges X.509-Zertifikat für die vertrauende Partei oder den Access Control Namespace konfiguriert ist. Das Zertifikat muss als primär festgelegt sein und darf nicht abgelaufen sein.

So erneuern Sie ein Signaturzertifikat

  1. Wechseln Sie zum Microsoft Azure Verwaltungsportal (https://manage.WindowsAzure.com), melden Sie sich an, und klicken Sie dann auf Active Directory. (Tipp zur Problembehandlung: Das Element "Active Directory" fehlt oder ist nicht verfügbar)

  2. Um einen Namespace für die Zugriffssteuerung zu verwalten, wählen Sie den Namespace aus und klicken Sie dann auf Verwalten. (Oder klicken Sie auf Namespaces für die Zugriffssteuerung, wählen Sie den Namespace aus und klicken Sie dann auf Verwalten.)

  3. Klicken Sie auf Zertifikate und Schlüssel.

  4. Wählen Sie ein Zertifikat mit einem Status von Fast abgelaufen oder Abgelaufen aus.

    Hinweis

    Im Abschnitt "Zertifikate und Schlüssel" werden Zertifikate und Schlüssel für den Access Control Namespace als Dienstnamespace bezeichnet.

  5. Geben Sie bei Bedarf ein Zertifikat ein oder generieren Sie eines.

  6. Aktualisieren Sie die Angaben für Gültigkeit und Ablauf.

  7. Klicken Sie auf Speichern, um den Vorgang abzuschließen.

Tokensignaturschlüssel

ACS signiert alle Sicherheitstoken, die es gibt. ACS verwendet 256-Bit-symmetrische Signaturschlüssel für Anwendungen, die SWT-Token nutzen, die von ACS ausgestellt wurden.

Wenn Signaturschlüssel ablaufen, gibt ACS die folgenden Fehler zurück, wenn Sie ein Token anfordern:

Fehlercode Nachricht Problembehandlung

ACS50003

Es ist kein primärer symmetrischer Signaturschlüssel konfiguriert. Für SWT ist ein symmetrischer Signaturschlüssel erforderlich.

Wenn die ausgewählte vertrauende Partei SWT als Tokentyp verwendet, stellen Sie sicher, dass ein symmetrischer Schlüssel für die vertrauende Partei oder den Access Control Namespace konfiguriert ist und dass der Schlüssel auf primär festgelegt ist und nicht abgelaufen ist.

So erneuern Sie einen Signaturschlüssel

  1. Wechseln Sie zum Microsoft Azure Verwaltungsportal (https://manage.WindowsAzure.com), melden Sie sich an, und klicken Sie dann auf Active Directory. (Tipp zur Problembehandlung: Das Element "Active Directory" fehlt oder ist nicht verfügbar)

  2. Um einen Namespace für die Zugriffssteuerung zu verwalten, wählen Sie den Namespace aus und klicken Sie dann auf Verwalten. (Oder klicken Sie auf Namespaces für die Zugriffssteuerung, wählen Sie den Namespace aus und klicken Sie dann auf Verwalten.)

  3. Klicken Sie auf Zertifikate und Schlüssel.

  4. Wählen Sie einen Schlüssel mit einem Status von Fast abgelaufen oder Abgelaufen aus.

    Hinweis

    Im Abschnitt "Zertifikate und Schlüssel" werden Zertifikate und Schlüssel für den Access Control Namespace als Dienstnamespace bezeichnet.

  5. Geben Sie bei Bedarf einen Schlüssel ein oder generieren Sie einen.

  6. Aktualisieren Sie die Angaben für Gültigkeit und Ablauf.

  7. Klicken Sie auf Speichern, um den Vorgang abzuschließen.

Tokenverschlüsselungszertifikate

Tokenverschlüsselung ist erforderlich, wenn die Anwendung der vertrauenden Seite ein Webdienst ist, der Eigentumsnachweistoken über das WS-Trust-Protokoll verwendet. In anderen Fällen ist die Tokenverschlüsselung optional.

Wenn Verschlüsselungszertifikate ablaufen, gibt ACS die folgenden Fehler zurück, wenn Sie ein Token anfordern:

Fehlercode Nachricht Problembehandlung

ACS50005

Tokenverschlüsselung ist erforderlich, für die vertrauende Seite ist jedoch kein Verschlüsselungszertifikat konfiguriert.

Deaktivieren Sie die Tokenverschlüsselung für die vertrauende Seite, oder laden Sie ein X.509-Zertifikat hoch, das für die Tokenverschlüsselung verwendet wird.

So erneuern Sie ein Verschlüsselungszertifikat

  1. Wechseln Sie zum Microsoft Azure Verwaltungsportal (https://manage.WindowsAzure.com), melden Sie sich an, und klicken Sie dann auf Active Directory. (Tipp zur Problembehandlung: Das Element "Active Directory" fehlt oder ist nicht verfügbar)

  2. Um einen Namespace für die Zugriffssteuerung zu verwalten, wählen Sie den Namespace aus und klicken Sie dann auf Verwalten. (Oder klicken Sie auf Namespaces für die Zugriffssteuerung, wählen Sie den Namespace aus und klicken Sie dann auf Verwalten.)

  3. Klicken Sie auf Zertifikate und Schlüssel.

  4. Wählen Sie ein Zertifikat mit einem Status von Fast abgelaufen oder Abgelaufen aus.

    Hinweis

    Im Abschnitt "Zertifikate und Schlüssel" werden Zertifikate und Schlüssel für den Access Control Namespace als Dienstnamespace bezeichnet.

  5. Geben Sie die neue Zertifikatdatei ein, oder navigieren Sie zu der neuen Zertifikatdatei, und geben Sie dann das Kennwort für diese Datei ein.

  6. Klicken Sie auf Speichern, um den Vorgang abzuschließen.

Tokenentschlüsselungszertifikate

ACS kann verschlüsselte Token von WS-Federation Identitätsanbietern akzeptieren, z. B. AD FS 2.0. ACS verwendet ein in ACS gehostetes X.509-Zertifikat zur Entschlüsselung.

Wenn Entschlüsselungszertifikate ablaufen, gibt ACS die folgenden Fehler zurück, wenn Sie ein Token anfordern:

Fehlercode Nachricht

ACS10001

Fehler beim Verarbeiten des SOAP-Headers.

ACS20001

Fehler beim Verarbeiten einer Anmeldeantwort des WS-Verbunds.

So erneuern Sie ein Entschlüsselungszertifikat

  1. Wechseln Sie zum Microsoft Azure Verwaltungsportal (https://manage.WindowsAzure.com), melden Sie sich an, und klicken Sie dann auf Active Directory. (Tipp zur Problembehandlung: Das Element "Active Directory" fehlt oder ist nicht verfügbar)

  2. Um einen Namespace für die Zugriffssteuerung zu verwalten, wählen Sie den Namespace aus und klicken Sie dann auf Verwalten. (Oder klicken Sie auf Namespaces für die Zugriffssteuerung, wählen Sie den Namespace aus und klicken Sie dann auf Verwalten.)

  3. Klicken Sie auf Zertifikate und Schlüssel.

  4. Verwenden Sie den Abschnitt "Zertifikate und Schlüssel" im ACS-Verwaltungsportal, um Zertifikate oder Schlüssel im Zusammenhang mit Access Control Namespaces und Anwendungen von vertrauenden Parteien zu verwalten.

  5. Wählen Sie ein Zertifikat mit einem Status von Fast abgelaufen oder Abgelaufen aus.

    Hinweis

    Im Abschnitt "Zertifikate und Schlüssel" werden Zertifikate und Schlüssel für den Access Control Namespace als Dienstnamespace bezeichnet.

  6. Geben Sie die neue Zertifikatsdatei ein oder wählen Sie eine aus, und geben Sie anschließend das Kennwort für die Datei ein.

  7. Klicken Sie auf Speichern, um den Vorgang abzuschließen.

Dienstidentitätsanmeldeinformationen

Dienstidentitäten sind Anmeldeinformationen, die global für den Access Control-Namespace konfiguriert sind. Sie ermöglichen Es Anwendungen oder Clients, sich direkt mit ACS zu authentifizieren und ein Token zu empfangen. Eine ACS-Dienstidentität kann symmetrische Schlüssel, Kennwörter und X.509-Zertifikate verwenden. ACS löst die folgenden Ausnahmen aus, wenn Anmeldeinformationen abgelaufen sind.

Anmeldeinformationen Fehlercode Nachricht Problembehandlung

Symmetrischer Schlüssel, Kennwort

ACS50006

Fehler bei der Signaturüberprüfung. (Details finden Sie in der Meldung.)

X.509-Zertifikat

ACS50016

X509Certificate mit Betreff "<Antragstellername>" und Fingerabdruck "<Zertifikat-Fingerabdruck>" stimmt nicht mit einem konfigurierten Zertifikat überein.

Stellen Sie sicher, dass das angeforderte Zertifikat in ACS hochgeladen wurde.

Um Ablaufdatumsangaben symmetrischer Schlüssel oder Kennwort zu überprüfen und zu aktualisieren, oder um neues Zertifikat als Dienstidentitätsanmeldeinformationen hochzuladen, folgen Sie den Anweisungen unter" How to: Add Service Identity with an X.509 Certificate, Password, or Symmetric Key. Listen Sie die Dienstidentitätsanmeldeinformationen auf, die auf der Seite Dienstidentität bearbeiten verfügbar sind.

  1. Wechseln Sie zur Seite "Dienstidentitäten " im ACS-Verwaltungsportal.

  2. Wählen Sie eine Dienstidentität aus.

  3. Wählen Sie Anmeldeinformationen, einen symmetrischen Schlüssel, ein Kennwort oder X.509-Zertifikat mit Status Abgelaufen oder Fast abgelaufen aus.

  4. Geben Sie für einen symmetrischen Schlüssel einen Schlüssel ein, oder generieren Sie einen neuen Schlüssel. Geben Sie dann die Angaben für Gültigkeit und Ablauf ein. Klicken Sie auf Speichern.

  5. Geben Sie für ein Kennwort ein neues Kennwort ein. Anschließend geben Sie die Angaben für Gültigkeit und Ablauf ein. Klicken Sie auf Speichern.

  6. Geben Sie für ein X.509-Zertifikat eine Zertifikatsdatei ein, oder navigieren Sie zu einer neuen Zertifikatsdatei, und klicken Sie anschließend auf Speichern.

Anmeldeinformationen für den Verwaltungsdienst

Der ACS-Verwaltungsdienst ist eine wichtige Komponente von ACS, mit der Sie Einstellungen in einem Access Control Namespace programmgesteuert verwalten und konfigurieren können. Ein ACS-Verwaltungsdienstkonto kann symmetrische Schlüssel, Kennwörter und ein X.509-Zertifikat verwenden. Wenn diese Anmeldeinformationen abgelaufen sind, löst ACS die folgenden Ausnahmen aus.

Anmeldeinformationen Fehlercode Nachricht Problembehandlung

Symmetrischer Schlüssel oder Kennwort

ACS50006

Fehler bei der Signaturüberprüfung. (Weitere Details finden Sie ggf. in der Nachricht.)

X.509-Zertifikat

ACS50016

X509Certificate mit Betreff "<Antragstellername>" und Fingerabdruck "<Zertifikat-Fingerabdruck>" stimmt nicht mit einem konfigurierten Zertifikat überein.

Stellen Sie sicher, dass das angeforderte Zertifikat in ACS hochgeladen wurde.

Die Liste der ACS Management Service-Anmeldeinformationen wird auf der Seite "Verwaltungsdienstkonto bearbeiten" im ACS-Verwaltungsportal angezeigt.

  1. Wechseln Sie zur Seite "Verwaltungsdienst" im ACS-Verwaltungsportal.

  2. Wählen Sie ein Verwaltungsdienstkonto aus.

  3. Wählen Sie Anmeldeinformationen, symmetrische Schlüssel, Kennwörter oder X.509-Zertifikat mit dem Status "Abgelaufen " oder "Fast Abgelaufen" aus.

  4. Geben Sie für einen symmetrischen Schlüssel einen neuen Schlüssel ein, oder generieren Sie ihn, und geben Sie "Effektive " und "Ablaufdatum " ein. Klicken Sie auf Speichern.

  5. Geben Sie für ein Kennwort ein neues Kennwort ein. Anschließend geben Sie die Angaben für Gültigkeit und Ablauf ein. Klicken Sie auf Speichern.

  6. Geben Sie für ein X.509-Zertifikat eine Zertifikatsdatei ein, oder navigieren Sie zu einem neuen Zertifikat, und klicken Sie anschließend auf Speichern.

Zertifikat des WS-Verbundidentitätsanbieters

Das Verbundmetadaten-Dokument für einen WS-Verbundidentitätsanbieter umfasst einen Fingerabdruck, der das X.509-Zertifikat identifiziert, mit dem Token für den Identitätsanbieter signiert werden.

Verwenden Sie den ACS-Verwaltungsdienst oder das ACS-Verwaltungsportal, um zu ermitteln, ob sich ein WS-Federation Identitätsanbieterzertifikat innerhalb des Gültigkeitsbereichs befindet.

So verwenden Sie das ACS-Verwaltungsportal

  1. Melden Sie sich beim Azure-Verwaltungsportal https://manage.WindowsAzure.coman.

  2. Wählen Sie einen Access Control-Namespace aus, und klicken Sie dann auf Verwalten. (Oder klicken Sie auf Namespaces für die Zugriffssteuerung, wählen Sie einen Access Control-Namespace aus, und klicken Sie dann auf Verwalten.)

  3. Klicken Sie im ACS-Verwaltungsportal auf Identitätsanbieter, und wählen Sie dann einen WS-Verbundidentitätsanbieter aus.

  4. Zeigen Sie im Abschnitt Tokensignaturzertifikate die Gültigkeitsdaten und den Status des Zertifikats für den WS-Verbundidentitätsanbieter an.

  5. Wenn der zertifizierte Status Abgelaufen oder Fast abgelaufen entspricht, überprüfen Sie, dass der WS-Verbundidentitätsanbieter (AD FS oder ein benutzerdefinierter Identitätsanbieter) ein sekundäres Signaturzertifikat hinzugefügt hat.

    Wenn Sie eine URL verwendet haben, um die Verbundmetadaten für den WS-Verbundidentitätsanbieter zu identifizieren, wählen Sie die Option zum erneuten Importieren der Daten über die URL der WS-Verbundmetadaten beim Speichern aus, und klicken Sie dann auf Speichern. Wenn Sie die WS-Verbundmetadaten als lokale Datei hochgeladen haben, laden Sie die neue WS-Verbundmetadatendatei erneut hoch, und klicken Sie dann auf Speichern.

Wenn ACS ein Token von einem Identitätsanbieter erhält, das mit einem abgelaufenen oder unbekannten Zertifikat signiert ist, löst ACS die folgenden Ausnahmen aus.

Fehlercode Nachricht

ACS10001

Fehler beim Verarbeiten des SOAP-Headers.

ACS20001

Fehler beim Verarbeiten einer Anmeldeantwort des WS-Verbunds.

ACS50006

Fehler bei der Signaturüberprüfung. (Weitere Details finden Sie ggf. in der Nachricht.)

Weitere Informationen

Aufgaben

Codebeispiel: Schlüsselverwaltung

Konzepte

ACS-Fehlercodes
ACS-Richtlinienindex
ACS-Verwaltungsdienst
Zertifikate und Schlüssel
Vorgehensweise: Hinzufügen von Dienstidentitäten mit einem X.509-Zertifikat, kennwort oder symmetrischen Schlüssel
Vertrauende Parteianwendungen
Dienstidentitäten