Linee guida per la gestione dei certificati e delle chiavi

  • Articolo

Si applica a

  • Microsoft Azure Active Directory Access Control (anche noto come Servizio di controllo di accesso o ACS)

Riepilogo

Questo argomento descrive le linee guida per l'uso di certificati e chiavi in ACS. Poiché i certificati e le chiavi scadono per progettazione, è importante tenere traccia delle date di scadenza e intraprendere azioni appropriate prima della scadenza in modo che le applicazioni che usano ACS continuino a funzionare correttamente senza interruzioni.

Importante

Tenere traccia della scadenza e rinnovare i certificati, le chiavi e le password usate dallo spazio dei nomi Controllo di accesso, le applicazioni di relying party, le identità del servizio e l'account del servizio di gestione ACS.

Obiettivi

  • Elencare i certificati e le chiavi per i quali è necessario tenere traccia delle date di scadenza

  • Illustrare le procedure di rinnovo dei certificati e delle chiavi

    Importante

    Per informazioni sui messaggi di errore e sulla procedura di rinnovo, vedere la sezione relativa ai certificati, alle credenziali o alle chiavi in questo argomento.

Panoramica

Poiché ogni certificato è soggetto a scadenza, è buona norma caricare un nuovo certificato in anticipo rispetto alla scadenza di quello corrente. Di seguito è illustrata a grandi linee la procedura da seguire.

  • Caricare un nuovo certificato secondario.

  • Informare dell'imminente modifica i partner che usano il servizio. I partner devono aggiornare la configurazione dei certificati per le relying party, ad esempio un'identificazione personale del certificato configurata in web.config nel nodo trustedIssuers in un'applicazione Web ASP.NET.

  • Contrassegnare il nuovo certificato come primario e usarlo per eseguire l'accesso in sostituzione del precedente, lasciando attivo il precedente certificato per un periodo residuo ragionevole.

  • Al termine del periodo di tolleranza , rimuovere il vecchio certificato. 

Quando scade un certificato o una chiave, i tentativi da parte di ACS di rilasciare token non riescono e l'applicazione relying party non può funzionare correttamente. ACS ignora i certificati e le chiavi scaduti, causando le stesse eccezioni generate se non è mai stato configurato alcun certificato o chiave.

Le sezioni seguenti forniscono informazioni sulla gestione di certificati e chiavi usate da ACS, su come rinnovarle e su come identificare certificati e chiavi che si trovano in prossimità della scadenza o che sono scadute.

  • Per gestire certificati e chiavi per Controllo di accesso spazi dei nomi e applicazioni di relying party, usare la pagina Certificati e chiavi del portale di gestione ACS. Per altre informazioni su questi tipi di credenziali, vedere Certificati e chiavi.

  • Per gestire le credenziali (certificati, chiavi o password) delle identità del servizio, usare la pagina Identità del servizio del portale di gestione ACS. Per altre informazioni sulle identità del servizio, vedere Identità del servizio.

  • Per gestire le credenziali (certificati, chiavi o password) degli account del servizio di gestione ACS, usare la pagina Servizio di gestione del portale di gestione di ACS. Per altre informazioni sul servizio di gestione ACS, vedere Servizio di gestione ACS.

  • Per gestire i certificati per i provider di identità WS-Federation, ad esempio ADFS 2.0, usare la pagina Identity providers nel portale di gestione ACS. Per altre informazioni, vedere WS-Federation certificato del provider di identità e provider di identità WS-Federation.

    Per visualizzare e aggiornare WS-Federation certificati e chiavi del provider di identità a livello di codice, usare il servizio di gestione ACS. Per verificare le date effettive di un certificato, eseguire query sui valori delle proprietà StartDate e EndDate dell'entità IdentityProviderKey . Per altre informazioni, scaricare l'esempio di codice KeyManagement, Esempio di codice: Gestione chiavi.

Quando si richiede un token firmato da un certificato o una chiave scaduta, ACS genera eccezioni con codici di errore ACS specifici del certificato o della chiave. Per informazioni sui codici errore specifici, vedere le sezioni che seguono.

Certificati e chiavi disponibili

L'elenco seguente visualizza i certificati e le chiavi disponibili usati in ACS e devono essere rilevati per le date di scadenza:

Importante

Per informazioni sui messaggi di errore e sulla procedura di rinnovo, vedere la sezione relativa ai certificati, alle credenziali o alle chiavi in questo argomento.

  • Certificati per la firma di token

  • Chiavi per la firma di token

  • Certificati di crittografia dei token

  • Certificati di decrittografia dei token

  • Credenziali di identità del servizio

  • Credenziali dell'account del servizio di gestione ACS

  • Certificati di crittografia e firma di provider di identità WS-Federation

La parte restante di questo argomento è dedicata alla descrizione dettagliata di ogni certificato e chiave.

Certificati per la firma di token

ACS firma tutti i token di sicurezza che generano problemi. Per firmare i token SAML per le applicazioni, usa i certificati X.509.

Quando un certificato di firma è scaduto, ACS restituisce i seguenti errori in riposta alla richiesta di un token:

Codice di errore Message Rimedio

ACS50004

Nessun certificato primario di firma X.509 configurato. Per SAML è necessario un certificato di firma.

Se la relying party scelta usa i token SAML, assicurarsi che un certificato X.509 valido sia configurato per la relying party o lo spazio dei nomi Controllo di accesso. Il certificato deve essere impostato come primario e non deve essere scaduto.

Per rinnovare un certificato di firma:

  1. Passare al portale di gestione Microsoft Azure (https://manage.WindowsAzure.com), accedere e quindi fare clic su Active Directory. (Suggerimento per la risoluzione dei problemi: l'elemento "Active Directory" non è disponibile o meno)

  2. Per gestire uno spazio dei nomi di Controllo di accesso, selezionare lo spazio dei nomi, quindi fare clic su Gestisci. Altrimenti, fare clic su Spazi dei nomi controllo di accesso, selezionare lo spazio dei nomi, quindi fare clic su Gestisci.

  3. Fare clic su Certificates and Keys.

  4. Selezionare un certificato con stato Near expired o Expired.

    Nota

    Nella sezione Certificati e chiavi, i certificati e le chiavi per lo spazio dei nomi Controllo di accesso sono etichettati spazio dei nomi del servizio.

  5. Immettere o generare un certificato, in base alle proprie esigenze.

  6. Aggiornare le date Effective ed Expiration.

  7. Fare clic su Save per completare l'operazione.

Chiave per la firma di token

ACS firma tutti i token di sicurezza che generano problemi. ACS usa chiavi di firma simmetrica a 256 bit per le applicazioni che utilizzano i token SWT emessi da ACS.

Quando una chiave di firma è scaduta, ACS restituisce i seguenti errori in riposta alla richiesta di un token:

Codice di errore Message Rimedio

ACS50003

Nessuna chiave primaria di firma simmetrica configurata. Per SWT è necessaria una chiave di firma simmetrica.

Se la relying party scelta usa SWT come tipo di token, assicurarsi che una chiave simmetrica sia configurata per la relying party o lo spazio dei nomi Controllo di accesso e che la chiave sia impostata su primaria e non sia scaduta.

Per rinnovare una chiave di firma:

  1. Passare al portale di gestione Microsoft Azure (https://manage.WindowsAzure.com), accedere e quindi fare clic su Active Directory. (Suggerimento per la risoluzione dei problemi: l'elemento "Active Directory" non è disponibile o meno)

  2. Per gestire uno spazio dei nomi di Controllo di accesso, selezionare lo spazio dei nomi, quindi fare clic su Gestisci. Altrimenti, fare clic su Spazi dei nomi controllo di accesso, selezionare lo spazio dei nomi, quindi fare clic su Gestisci.

  3. Fare clic su Certificates and Keys.

  4. Selezionare una chiave con stato Near expired o Expired.

    Nota

    Nella sezione Certificati e chiavi, i certificati e le chiavi per lo spazio dei nomi Controllo di accesso sono etichettati spazio dei nomi del servizio.

  5. Immettere o generare una chiave, in base alle proprie esigenze.

  6. Aggiornare le date Effective ed Expiration.

  7. Fare clic su Save per completare l'operazione.

Certificati di crittografia dei token

La crittografia dei token è necessaria quando un'applicazione relying party è un servizio Web che usa token proof-of-possession sul protocollo WS-Trust. In tutti gli altri casi la crittografia dei token è facoltativa.

Quando un certificato di crittografia è scaduto, ACS restituisce i seguenti errori in riposta alla richiesta di un token:

Codice di errore Message Rimedio

ACS50005

La crittografia dei token è obbligatoria, ma nessun certificato di crittografia è configurato per la relying party.

Disabilitare la crittografia dei token per la relying party scelta oppure caricare un certificato X.509 da utilizzare per la crittografia dei token.

Per rinnovare un certificato di crittografia:

  1. Passare al portale di gestione Microsoft Azure (https://manage.WindowsAzure.com), accedere e quindi fare clic su Active Directory. (Suggerimento per la risoluzione dei problemi: l'elemento "Active Directory" non è disponibile o meno)

  2. Per gestire uno spazio dei nomi di Controllo di accesso, selezionare lo spazio dei nomi, quindi fare clic su Gestisci. Altrimenti, fare clic su Spazi dei nomi controllo di accesso, selezionare lo spazio dei nomi, quindi fare clic su Gestisci.

  3. Fare clic su Certificates and Keys.

  4. Selezionare un certificato con stato Near expired o Expired.

    Nota

    Nella sezione Certificati e chiavi, i certificati e le chiavi per lo spazio dei nomi Controllo di accesso sono etichettati spazio dei nomi del servizio.

  5. Immettere o passare al nuovo file di certificato e quindi immettere la password per tale file.

  6. Fare clic su Save per completare l'operazione.

Certificati di decrittografia dei token

ACS può accettare token crittografati da WS-Federation provider di identità, ad esempio AD FS 2.0. ACS usa un certificato X.509 ospitato in ACS per la decrittografia.

Quando un certificato di decrittografia è scaduto, ACS restituisce i seguenti errori in riposta alla richiesta di un token:

Codice di errore Message

ACS10001

Errore durante l'elaborazione dell'intestazione SOAP.

ACS20001

Errore durante l'elaborazione di una risposta di accesso WS-Federation.

Per rinnovare un certificato di decrittografia:

  1. Passare al portale di gestione Microsoft Azure (https://manage.WindowsAzure.com), accedere e quindi fare clic su Active Directory. (Suggerimento per la risoluzione dei problemi: l'elemento "Active Directory" non è disponibile o meno)

  2. Per gestire uno spazio dei nomi di Controllo di accesso, selezionare lo spazio dei nomi, quindi fare clic su Gestisci. Altrimenti, fare clic su Spazi dei nomi controllo di accesso, selezionare lo spazio dei nomi, quindi fare clic su Gestisci.

  3. Fare clic su Certificates and Keys.

  4. Usare la sezione Certificati e chiavi nel portale di gestione ACS per gestire certificati o chiavi correlati agli spazi dei nomi Controllo di accesso e alle applicazioni di relying party.

  5. Selezionare un certificato con stato Near expired o Expired.

    Nota

    Nella sezione Certificati e chiavi, i certificati e le chiavi per lo spazio dei nomi Controllo di accesso sono etichettati spazio dei nomi del servizio.

  6. Immettere o selezionare il nuovo file di certificato, quindi immettere la password corrispondente.

  7. Fare clic su Save per completare l'operazione.

Credenziali di identità del servizio

Le identità del servizio sono credenziali configurate a livello globale per lo spazio dei nomi Controllo di accesso. Consentono alle applicazioni o ai client di eseguire l'autenticazione direttamente con ACS e ricevere un token. Un'identità del servizio ACS può essere usata da chiavi simmetriche, password e certificati X.509. ACS genera le eccezioni seguenti quando le credenziali sono scadute.

Credenziale Codice di errore Message Rimedio

Chiave simmetrica, password

ACS50006

Verifica della firma non riuscita. Nel messaggio sono inclusi i dettagli.

Certificato X.509

ACS50016

X509Certificate con oggetto 'Nome soggetto> certificato' e identificazione personale '<<Identificazione personale certificato>' non corrisponde a alcun certificato configurato.

Verificare che il certificato richiesto sia stato caricato in ACS.

Per verificare e aggiornare le date di scadenza delle chiavi simmetriche o della password o per caricare un nuovo certificato come credenziali di identità del servizio, seguire le istruzioni descritte in Procedura: Aggiungere identità del servizio con un certificato X.509, una password o una chiave simmetrica. Elenco di credenziali di identità del servizio disponibili nella pagina Edit Service Identity.

  1. Passare alla pagina Identità del servizio nel portale di gestione di ACS.

  2. Selezionare un'identità del servizio.

  3. Selezionare una credenziale, una chiave simmetrica, una password o un certificato X.509 con stato Expired o Near Expired.

  4. Per una chiave simmetrica, immettere o generare una nuova chiave, quindi immettere le date Effective ed Expiration. Fare clic su Salva.

  5. Per una password, immettere una nuova password, quindi immettere le date Effective ed Expiration. Fare clic su Salva.

  6. Per un certificato X.509, immettere o selezionare un nuovo file di certificato, quindi fare clic su Save.

Credenziali del servizio di gestione

Il servizio di gestione ACS è un componente chiave di ACS che consente di gestire e configurare le impostazioni a livello di codice in uno spazio dei nomi Controllo di accesso. Un account del servizio di gestione ACS può usare chiavi simmetriche, password e certificati X.509. Se queste credenziali sono scadute, ACS genera le eccezioni seguenti.

Credenziale Codice di errore Message Rimedio

Chiave simmetrica o password

ACS50006

Verifica della firma non riuscita. È possibile che nel messaggio siano riportati altri dettagli.

Certificato X.509

ACS50016

X509Certificate con oggetto 'Nome soggetto> certificato' e identificazione personale '<<Identificazione personale certificato>' non corrisponde a alcun certificato configurato.

Verificare che il certificato richiesto sia stato caricato in ACS.

L'elenco delle credenziali dell'account del servizio di gestione di ACS viene visualizzato nella pagina Modifica account del servizio di gestione nel portale di gestione di ACS.

  1. Passare alla pagina Servizio di gestione nel portale di gestione di ACS.

  2. Selezionare un account del servizio di gestione.

  3. Selezionare le credenziali, le chiavi simmetriche, le password o il certificato X.509 con stato Scaduto o Quasi scaduto.

  4. Per una chiave simmetrica, immettere o generare una nuova chiave e immettere date di validità e scadenza . Fare clic su Salva.

  5. Per una password, immettere una nuova password, quindi immettere le date Effective ed Expiration. Fare clic su Salva.

  6. Per un certificato X.509, immettere o selezionare un nuovo certificato, quindi fare clic su Save.

Certificato di provider di identità WS-Federation

Il documento di metadati di federazione per un provider di identità WS-Federation include un'anteprima che identifica il certificato X.509 usato per firmare i token per il provider di identità.

Per determinare se un certificato del provider di identità WS-Federation è compreso nell'intervallo di date effettive, usare il servizio di gestione ACS o il portale di gestione ACS.

Per usare il portale di gestione ACS:

  1. Accedere al portale https://manage.WindowsAzure.comdi gestione di Azure.

  2. Selezionare uno spazio dei nomi di Controllo di accesso, quindi fare clic su Gestisci. In alternativa, fare clic su Spazi dei nomi di Access Control, selezionare uno spazio dei nomi di Controllo di accesso, quindi fare clic su Gestisci.

  3. Nel portale di gestione ACS fare clic su Identity providers e selezionare un provider di identità WS-Federation.

  4. Nella sezione Token Signing Certificates visualizzare le date di validità e il valore di Status per il certificato del provider di identità WS-Federation.

  5. Se lo stato del certificato è Expired o Near Expired, verificare che il provider di identità WS-Federation (ADFS o personalizzato) abbia aggiunto un certificato di firma secondario.

    Se si è usato un URL per identificare i metadati di federazione per il provider di identità WS-Federation, selezionare Reimport data from WS-Federation metadata URL upon save, quindi fare clic su Save. Se si sono caricati i metadati WS-Federation come file locale, ripetere il caricamento del nuovo file di metadati WS-Federation, quindi fare clic su Save.

Se ACS riceve un token da un provider di identità firmato con un certificato scaduto o sconosciuto, ACS genera le seguenti eccezioni.

Codice di errore Message

ACS10001

Errore durante l'elaborazione dell'intestazione SOAP.

ACS20001

Errore durante l'elaborazione di una risposta di accesso WS-Federation.

ACS50006

Verifica della firma non riuscita. È possibile che nel messaggio siano riportati altri dettagli.

Vedere anche

Attività

Esempio di codice: Gestione delle chiavi

Concetti

Codici di errore di ACS
Indice delle linee guida di ACS
Servizio di gestione ACS
Certificati e chiavi
Procedura: Aggiungere identità del servizio con un certificato X.509, una password o una chiave simmetrica
Applicazioni relying party
Identità del servizio