Directrices de administración de claves y certificados

  • Artículo

Se aplica a

  • Active Directory Access Control de Microsoft Azure (también conocido como Access Control Service o ACS)

Resumen

En este tema se describen las directrices para usar certificados y claves en ACS. Dado que los certificados y las claves expiran por diseño, es importante realizar un seguimiento de las fechas de expiración y tomar las medidas adecuadas antes de la expiración para que las aplicaciones que usan ACS sigan funcionando correctamente sin interrupciones.

Importante

Realice un seguimiento de la expiración y renovación de certificados, claves y contraseñas que usa el espacio de nombres Access Control, las aplicaciones de usuario de confianza, las identidades de servicio y la cuenta del servicio de administración de ACS.

Objetivos

  • Mostrar los certificados y claves de cuyas fechas de caducidad deberá realizar un seguimiento

  • Describir los procedimientos de renovación de los certificados y claves

    Importante

    Consulte la sección específica del certificado, credencial o clave de este tema para obtener información sobre los mensajes de error y los procesos de renovación.

Información general

Puesto que los certificados tienen fecha de caducidad, se recomienda cargar los nuevos certificados antes de que caduque el certificado actual. Los pasos que deben realizarse son los siguientes:

  • Cargue un nuevo certificado secundario.

  • Notifique a los socios que usan el servicio del cambio que se va a realizar. Los socios deberán actualizar la configuración de sus certificaos para sus usuarios de confianza (por ejemplo, la huella digital del certificado configurado en web.config en el nodo trustedIssuers de una aplicación web de ASP.NET)

  • Cambie la firma al nuevo certificado (márquelo como principal) y deje el anterior en su ubicación durante un periodo razonable.

  • Una vez finalizado el período de gracia, quite el certificado anterior. 

Cuando expira un certificado o una clave, se produce un error en los intentos de ACS para emitir tokens y la aplicación del usuario de confianza no puede funcionar correctamente. ACS omite los certificados y claves expirados, lo que da lugar a las mismas excepciones que se producirían si no se hubiera configurado ningún certificado o clave.

En las secciones siguientes se proporciona información sobre cómo administrar certificados y claves que usa ACS, cómo renovarlos y cómo identificar certificados y claves que están a punto de expirar o han expirado.

  • Para administrar certificados y claves para Access Control espacios de nombres y aplicaciones de usuario de confianza, use la página Certificados y claves del Portal de administración de ACS. Para obtener más información sobre estos tipos de credenciales, vea Certificados y claves.

  • Para administrar credenciales (certificados, claves o contraseñas) de identidades de servicio, use la página Identidades de servicio del Portal de administración de ACS. Para más información sobre las identidades de servicio, consulte Identidades de servicio.

  • Para administrar las credenciales (certificados, claves o contraseñas) de las cuentas del servicio de administración de ACS, use la página Servicio de administración del Portal de administración de ACS. Para obtener más información sobre el servicio de administración de ACS, consulte ACS Management Service.

  • Para administrar certificados de proveedores de identidades de WS-Federation como, por ejemplo, AD FS 2.0, utilice la página Proveedores de identidades del Portal de administración de ACS. Para obtener más información, consulte WS-Federation certificado del proveedor de identidades y proveedores de identidades WS-Federation.

    Para ver y actualizar WS-Federation certificados y claves del proveedor de identidades mediante programación, use el servicio de administración de ACS. Para comprobar las fechas vigentes de un certificado, consulte los valores de las propiedades StartDate y EndDate de la entidad IdentityProviderKey . Para obtener más información, descargue el ejemplo de código KeyManagement, Ejemplo de código: Administración de claves.

Cuando se solicita un token firmado por un certificado o una clave expirados, ACS produce excepciones que tienen códigos de error de ACS específicos del certificado o la clave. Consulte las secciones siguientes para obtener información sobre los códigos de error específicos.

Certificados y claves disponibles

En la lista siguiente se muestran los certificados y claves disponibles que se usan en ACS y se debe realizar un seguimiento de las fechas de expiración:

Importante

Consulte la sección específica del certificado, credencial o clave de este tema para obtener información sobre los mensajes de error y los procesos de renovación.

  • Certificados de firma de tokens

  • Claves de firma de tokens

  • Certificados de cifrado de tokens

  • Certificados de descifrado de tokens

  • Credenciales de identidad de servicio

  • Credenciales de la cuenta de servicio de administración de ACS

  • Certificados de cifrado y firma del proveedor de identidades de WS-Federation

El resto de este tema abarca cada certificado y clave en detalle.

Certificados de firma de tokens

ACS firma todos los tokens de seguridad que emite. Utiliza certificados X.509 para firmar tokens SAML para las aplicaciones.

Cuando un certificado de firma caduca, ACS devuelve los errores siguientes al solicitar un token:

Código de error Mensaje Solución

ACS50004

No hay configurado un certificado de firma X.509 principal. Se requiere un certificado de firma para SAML.

Si el usuario de confianza elegido usa tokens SAML, asegúrese de que un certificado X.509 válido esté configurado para el usuario de confianza o el espacio de nombres Access Control. El certificado se debe establecer como principal y no puede haber caducado.

Para renovar un certificado de firma:

  1. Vaya al Portal de administración de Microsoft Azure (https://manage.WindowsAzure.com), inicie sesión y, a continuación, haga clic en Active Directory. (Sugerencia de solución de problemas: falta el elemento "Active Directory" o no está disponible)

  2. Para administrar el espacio de nombres Access Control, seleccione el espacio de nombres y, a continuación, haga clic en Administrar. (O haga clic en espacios de nombres Access Control, seleccione el espacio de nombres y, a continuación, haga clic en Administrar.)

  3. Haga clic en Certificados y claves.

  4. Seleccione un certificado con el estado Casi caducado o Caducado.

    Nota

    En la sección Certificados y claves, los certificados y las claves del espacio de nombres Access Control se etiquetan como Espacio de nombres de servicio.

  5. Especifique o genere un certificado según sea necesario.

  6. Actualice las fechas de Efectividad y Caducidad.

  7. Haga clic en Guardar para completar el proceso.

Clave de firma de token

ACS firma todos los tokens de seguridad que emite. ACS usa claves de firma simétricas de 256 bits para aplicaciones que consumen tokens SWT emitidos por ACS.

Cuando las claves de firma caducan, ACS devuelve los errores siguientes al solicitar un token:

Código de error Mensaje Solución

ACS50003

No hay configurada una clave de firma simétrica principal. Se requiere una clave de firma simétrica para SWT.

Si el usuario de confianza elegido usa SWT como tipo de token, asegúrese de que una clave simétrica está configurada para el usuario de confianza o el espacio de nombres Access Control, y que la clave está establecida en principal y no ha expirado.

Para renovar una clave de firma:

  1. Vaya al Portal de administración de Microsoft Azure (https://manage.WindowsAzure.com), inicie sesión y, a continuación, haga clic en Active Directory. (Sugerencia de solución de problemas: falta el elemento "Active Directory" o no está disponible)

  2. Para administrar el espacio de nombres Access Control, seleccione el espacio de nombres y, a continuación, haga clic en Administrar. (O haga clic en espacios de nombres Access Control, seleccione el espacio de nombres y, a continuación, haga clic en Administrar.)

  3. Haga clic en Certificados y claves.

  4. Seleccione una clave con el estado Casi caducado o Caducado.

    Nota

    En la sección Certificados y claves, los certificados y las claves del espacio de nombres Access Control se etiquetan como Espacio de nombres de servicio.

  5. Especifique o genere una clave según sea necesario.

  6. Actualice las fechas de Efectividad y Caducidad.

  7. Haga clic en Guardar para completar el proceso.

Certificados de cifrado de tokens

El cifrado de tokens es necesario cuando una aplicación de usuario de confianza es un servicio web que utiliza tokens de prueba de posición mediante el protocolo WS-Trust. En el resto de casos, el cifrado de tokens es opcional.

Cuando los certificados de firma caducan, ACS devuelve los errores siguientes al solicitar un token:

Código de error Mensaje Solución

ACS50005

Se requiere el cifrado de token pero no se ha configurado ningún certificado de cifrado para el usuario de confianza.

Deshabilite el cifrado de token para el usuario de confianza elegido o cargue un certificado X.509 que se usará para el cifrado de token.

Para renovar un certificado de cifrado:

  1. Vaya al Portal de administración de Microsoft Azure (https://manage.WindowsAzure.com), inicie sesión y, a continuación, haga clic en Active Directory. (Sugerencia de solución de problemas: falta el elemento "Active Directory" o no está disponible)

  2. Para administrar el espacio de nombres Access Control, seleccione el espacio de nombres y, a continuación, haga clic en Administrar. (O haga clic en espacios de nombres Access Control, seleccione el espacio de nombres y, a continuación, haga clic en Administrar.)

  3. Haga clic en Certificados y claves.

  4. Seleccione un certificado con el estado Casi caducado o Caducado.

    Nota

    En la sección Certificados y claves, los certificados y las claves del espacio de nombres de Access Control se etiquetan como Espacio de nombres de servicio.

  5. Escriba o vaya al nuevo archivo de certificado y escriba la contraseña de ese archivo.

  6. Haga clic en Guardar para completar el proceso.

Certificados de descifrado de tokens

ACS puede aceptar tokens cifrados de WS-Federation proveedores de identidades, como AD FS 2.0. ACS usa un certificado X.509 hospedado en ACS para el descifrado.

Cuando los certificados de descifrado caducan, ACS devuelve los errores siguientes al solicitar un token:

Código de error Mensaje

ACS10001

Error al procesar el encabezado SOAP.

ACS20001

Error al procesar la respuesta de inicio de sesión de WS-Federation.

Para renovar un certificado de descifrado:

  1. Vaya al Portal de administración de Microsoft Azure (https://manage.WindowsAzure.com), inicie sesión y, a continuación, haga clic en Active Directory. (Sugerencia de solución de problemas: falta el elemento "Active Directory" o no está disponible)

  2. Para administrar el espacio de nombres Access Control, seleccione el espacio de nombres y, a continuación, haga clic en Administrar. (O haga clic en espacios de nombres Access Control, seleccione el espacio de nombres y, a continuación, haga clic en Administrar.)

  3. Haga clic en Certificados y claves.

  4. Use la sección Certificados y claves del Portal de administración de ACS para administrar certificados o claves relacionados con Access Control espacios de nombres y aplicaciones de usuario de confianza.

  5. Seleccione un certificado con el estado Casi caducado o Caducado.

    Nota

    En la sección Certificados y claves, los certificados y las claves del espacio de nombres de Access Control se etiquetan como Espacio de nombres de servicio.

  6. Especifique o busque el nuevo archivo de certificado y luego especifique la contraseña para dicho archivo.

  7. Haga clic en Guardar para completar el proceso.

Credenciales de identidad de servicio

Las identidades de servicio son credenciales configuradas globalmente para el espacio de nombres Access Control. Permiten que las aplicaciones o los clientes se autentiquen directamente con ACS y reciban un token. Una identidad de servicio de ACS puede usar claves simétricas, contraseñas y certificados X.509. ACS produce las siguientes excepciones cuando las credenciales han expirado.

Credential: Código de error Mensaje Solución

Clave simétrica, contraseña

ACS50006

Error en la comprobación de la firma. (Los detalles se encuentran en el mensaje.)

Certificado X.509

ACS50016

X509Certificate con el asunto "<Nombre> del firmante del certificado" y la huella digital "<Huella digital> del certificado" no coinciden con ningún certificado configurado.

Asegúrese de que el certificado configurado se haya cargado en ACS.

Para comprobar y actualizar las fechas de expiración de claves o contraseñas simétricas, o para cargar un nuevo certificado como credenciales de identidad de servicio, siga las instrucciones que se describen en Cómo: Agregar identidades de servicio con un certificado X.509, una contraseña o una clave simétrica. La lista de credenciales de identidad de servicio está disponible en la página Editar identidad de servicio.

  1. Vaya a la página Identidades de servicio en el Portal de administración de ACS.

  2. Seleccione una identidad de servicio.

  3. Seleccione una credencial, clave simétrica, contraseña o certificado X.509 con el estado Caducado o Casi caducado.

  4. Para las claves simétricas, especifique o genere una nueva clave y luego especifique las fechas de Efecto y de Caducidad. Haga clic en Save(Guardar).

  5. Para las contraseñas, especifique una nueva contraseña y luego especifique las fechas de Efecto y de Caducidad. Haga clic en Save(Guardar).

  6. Para los certificados X.509, especifique o busque un nuevo archivo de certificado y luego haga clic en Guardar.

Credenciales de servicio de administración

El servicio de administración de ACS es un componente clave de ACS que permite administrar y configurar mediante programación las opciones en un espacio de nombres de Access Control. Una cuenta de servicio de administración de ACS puede usar claves simétricas, contraseñas y certificados X.509. Si estas credenciales han expirado, ACS produce las siguientes excepciones.

Credential: Código de error Mensaje Solución

Clave simétrica o contraseña

ACS50006

Error en la comprobación de la firma. (Puede haber más detalles en el mensaje).

Certificado X.509

ACS50016

X509Certificate con el asunto "<Nombre> del firmante del certificado" y la huella digital "<Huella digital> del certificado" no coinciden con ningún certificado configurado.

Asegúrese de que el certificado configurado se haya cargado en ACS.

La lista de credenciales de la cuenta de servicio de administración de ACS se muestra en la página Editar cuenta de servicio de administración en el Portal de administración de ACS.

  1. Vaya a la página Servicio de administración en el Portal de administración de ACS.

  2. Seleccione una cuenta de servicio de administración.

  3. Seleccione credenciales, claves simétricas, contraseñas o certificado X.509 con el estado Expirado o Casi expirado.

  4. Para una clave simétrica, escriba o genere una nueva clave y escriba Fechas de vigencia y expiración . Haga clic en Save(Guardar).

  5. Para las contraseñas, especifique una nueva contraseña y luego especifique las fechas de Efecto y de Caducidad. Haga clic en Save(Guardar).

  6. Para los certificados X.509, especifique o busque un nuevo certificado y luego haga clic en Guardar.

Certificado de proveedor de identidades de WS-Federation

El documento de metadatos del proveedor de identidades de WS-Federation incluye una huella digital que identifica el certificado X.509 que se utiliza para firmar los tokens para el proveedor de identidades.

Para determinar si un certificado de proveedor de identidades de WS-Federation está dentro del intervalo de sus fechas efectivas, use el servicio de administración de ACS o el Portal de administración de ACS.

Para utilizar el Portal de administración de ACS:

  1. Inicie sesión en el Portal https://manage.WindowsAzure.comde administración de Azure.

  2. Seleccione un espacio de nombres de Access Control y luego haga clic en Administrar. (O bien, haga clic en Espacio de nombres de Access Control, seleccione un espacio de nombres de Access Control y luego haga clic en Administrar.

  3. En el Portal de administración de ACS, haga clic en Proveedores de identidades y luego seleccione un proveedor de identidades de WS-Federation.

  4. En la sección Certificados de firma de tokens, consulte las fechas de efecto y el Estado del certificado del proveedor de identidades de WS-Federation.

  5. Si el estado del certificado es Caducado o Casi caducado, asegúrese de que el proveedor de identidades de WS-Federation (AD FS o un proveedor de identidades personalizado) tenga agregado un certificado de firma secundario.

    Si utilizó una dirección URL para identificar los metadatos de federación del proveedor de identidades de WS-Federation, seleccione Reimportar datos de la URL de metadatos de WS-Federation tras guardar y luego haga clic en Guardar. Si cargó los metadatos de WS-Federation como archivo local, vuelva a cargar el nuevo archivo de metadatos de WS-Federation y luego haga clic en Guardar.

Si ACS recibe un token de un proveedor de identidades firmado con un certificado desconocido o caducado, ACS generará las excepciones siguientes.

Código de error Mensaje

ACS10001

Error al procesar el encabezado SOAP.

ACS20001

Error al procesar la respuesta de inicio de sesión de WS-Federation.

ACS50006

Error en la comprobación de la firma. (Puede haber más detalles en el mensaje).

Vea también

Tareas

Ejemplo de código: Administración de claves

Conceptos

Códigos de error de ACS
Índice de directrices de ACS
Servicio de administración de ACS
Certificados y claves
Cómo: Agregar identidades de servicio con un certificado X.509, una contraseña o una clave simétrica
Aplicaciones de usuario autenticado
Identidades de servicio