匯出 (0) 列印
全部展開

作法:使用 X.509 憑證設定 ACS 與 ASP.NET Web 應用程式之間的信任

發佈時間: 2011年4月

更新日期: 2011年5月

適用於: Windows Azure

適用對象

  • Microsoft® Windows Azure™ AppFabric Access Control Service (ACS)

  • ASP.NET

摘要

本主題說明如何設定您的應用程式與 ACS 之間的信任。信任是藉由簽署您的 ASP.NET Web 應用程式與 ACS 之間交換的權杖所建立。

內容

  • 目標

  • 概觀

  • 步驟摘要

  • 步驟 1 – 瀏覽至權杖簽署憑證區段

  • 步驟 2 - 使用 X.509 憑證設定信任

  • 步驟 3 - 檢閱 web.config 和 ACS 管理入口網站中的信任相關屬性

目標

  • 熟悉 ACS 管理入口網站上的信任管理區段。

  • 使用 X.509 憑證管理信任。

  • 驗證 web.config 和管理入口網站上的必要設定。

概觀

您需要建立信任,才能在應用程式與 ACS 之間適當地交換權杖。信任可確保權杖在傳輸途中未經篡改,並且是由信任的團體所發出。對於 ASP.NET Web 應用程式信任,則是使用 X.509 憑證並根據 ACS 管理入口網站設定和 web.config 設定予以管理。

步驟摘要

若要建立與管理 ASP.NET Web 應用程式與 ACS 之間的信任,請執行下列步驟:

  • 步驟 1 – 瀏覽至權杖簽署憑證區段

  • 步驟 2 - 使用 X.509 憑證設定信任

  • 步驟 3 - 檢閱 web.config 和 ACS 管理入口網站中的信任相關屬性

步驟 1 – 瀏覽至權杖簽署憑證區段

此步驟顯示如何瀏覽至 ACS 管理入口網站的信任管理區段。

在管理入口網站上瀏覽至信任管理的相關區段

  1. 開啟網際網路瀏覽器,並造訪 Windows Azure AppFabric 管理入口網站 (http://go.microsoft.com/fwlink/?LinkID=129428)。

  2. 使用 Windows Live ID 登入網站。如果您沒有 Windows Live ID,請按一下 [註冊] 以建立您自己的 Windows Live ID。

  3. 在使用您的 Live ID 登入之後,系統會將您重新導向至 [管理入口網站] 頁面。在此頁面的左下角按一下 [服務匯流排與存取控制]

  4. 若要啟動 ACS 管理入口網站,請在左邊的樹狀目錄中按一下 [存取控制],選取您要設定的 ACS 服務命名空間,然後按一下頁面頂端工具列上的 [存取控制服務] 按鈕。

  5. [存取控制服務] 頁面上,按一下 [信賴憑證者應用程式] 連結。

  6. [信賴憑證者應用程式] 頁面上,按一下要設定信任的所需信賴憑證者應用程式。

  7. [編輯信賴憑證者應用程式] 頁面上,向下捲動到 [權杖簽署憑證] 區段。

  8. 按一下所要的金鑰

步驟 2 - 使用 X.509 憑證設定信任

此步驟顯示如何使用 X.509 憑證,設定和管理 ASP.NET Web 應用程式與 ACS 之間的信任。若是在信賴憑證者應用程式中使用 Windows® Identity Foundation (WIF),請使用 X.509 憑證簽署認證。

使用 X.509 憑證設定和管理信任

  1. 若尚未在 [管理入口網站] 上瀏覽至 [編輯權杖簽署憑證或金鑰],請返回步驟 1。

  2. [編輯權杖簽署憑證或金鑰] 頁面上,提供下列值:

    • 名稱 - 您選擇的任意名稱。

    • 類型 - X.509 憑證

    • 憑證 - 預設可使用 ACS 所提供的憑證,在此情況下,不需要任何動作。您也可以上傳自己的 X.509 憑證。必須以密碼保護憑證。憑證通常隨附 .pfx 副檔名。上傳您自己的 X.509 憑證時,請在 [密碼] 文字方塊中提供 pfx 檔案密碼。

  3. 按一下 [儲存]

取得 X.509 憑證

有數種方式可取得權杖簽署或加密的 X.509 憑證。您將使用的方法則取決於您的需求和組織中的可用工具。

本機憑證授權單位

如果組織已部署憑證授權單元 (CA),例如 Active Directory 憑證服務 (AD CS),則可要求 X.509 憑證。您可能需要連絡您的憑證授權系統管理員以取得指示或權限。如需 Active Directory 憑證服務的相關資訊,請參閱 Active Directory 憑證服務 (http://go.microsoft.com/fwlink/?linkid=208371)。

商業憑證授權單位

您可以向商業憑證授權單位購買 X.509 憑證,如 Verisign。由於這是實驗室版本,因此建議您使用本機憑證授權單位 (若可用) 或產生自我簽署憑證 (請參閱下列說明)。

產生自我簽署憑證

您可以使用軟體來產生自己的自我簽署憑證,以搭配使用該憑證與 ACS。雖然通常只建議在測試用途中使用此方案,但沒有本機 CA 的存取權,或不想要支付商業 CA 的任何人,都可以執行此方案。若是執行 Windows,可下載 Windows SDK 隨附的 MakeCert.exe (http://go.microsoft.com/fwlink/?linkid=84091),再使用 MakeCert.exe 產生憑證。

從執行 Windows 7 或 Windows Vista® 的電腦中匯出自我簽署憑證

  1. 作為系統管理員,按一下 [開始],在 [搜尋] 方塊中輸入下列資訊,然後按 Enter
    mmc

  2. [MMC 主控台] 中,按一下 [檔案],然後按一下 [新增/移除嵌入式管理單元]

  3. 選取 [憑證],然後按一下 [新增]

  4. 選取 [我的使用者帳戶],然後按一下 [完成]

  5. 若要關閉 [新增獨立嵌入式管理單元] 對話方塊,請按一下 [確定]

  6. 在主控台中,按兩下 [憑證 - 目前的使用者]

  7. 在主控台中,展開 [個人],然後展開 [憑證]

  8. 在先前建立的憑證上按一下滑鼠右鍵。按一下 [所有工作],然後按一下 [匯出] 以啟動 [憑證匯出精靈]。

  9. [憑證匯出精靈歡迎使用] 頁面上按 [下一步]

  10. [匯出私密金鑰] 頁面上,選取 [是],匯出私密金鑰,再按 [下一步]

  11. [匯出檔案格式] 頁面上,確定選取 [個人資訊交換 - PKCS #12 (.PFX)] 選項。

  12. [密碼] 欄位中,輸入密碼 (兩次),再按 [下一步]

  13. [檔案名稱] 欄位中,輸入要匯出的檔案之名稱,然後按 [下一步]

  14. 按一下 [完成]

步驟 3 - 檢閱 web.config 和 ACS 管理入口網站中的信任相關屬性

此步驟顯示如何在 ASP.NET Web 應用程式的 web.config 中驗證信任的相關設定屬性。

在 ASP.NET Web 應用程式 web.config 中驗證信任的相關設定

  1. 開啟 ASP.NET Web 應用程式的 web.config。

  2. 瀏覽至 [audiencesUris] 節點,並確定其 [add] 子節點的值,與您在 [ACS 管理入口網站] 的 [編輯信賴憑證者] 頁面上的 [領域] 屬性中所設定的值相同。

    1. 瀏覽至 http://portal.windows.net (http://go.microsoft.com/fwlink/?LinkID=129428)。

    2. 若未使用 Windows Live ID 執行驗證,您必須這麼做。

    3. 使用 Windows Live ID 驗證後,系統會將您重新導向至 Windows Azure AppFabric 入口網站上的 [我的專案] 頁面。

    4. [我的專案] 頁面上按一下所要的專案名稱。

    5. 按一下所要命名空間的 [存取控制] 連結。

    6. [存取控制設定:<<您的命名空間>>] 頁面上,按一下 [管理存取控制] 連結。

    7. [存取控制服務] 頁面上,按一下 [信賴憑證者應用程式] 連結。

    8. [信賴憑證者應用程式] 頁面上,按一下所要的應用程式。

    9. [編輯信賴憑證者應用程式] 頁面上,檢閱 [領域] 屬性。

顯示:
© 2014 Microsoft