Diretrizes para gerenciamento de chaves e certificados

  • Artigo

Aplica-se A

  • Access Control do Active Directory do Microsoft Azure (também conhecido como Access Control Service ou ACS)

Resumo

Este tópico descreve as diretrizes para o uso de certificados e chaves no ACS. Como certificados e chaves expiram por design, é importante acompanhar as datas de validade e tomar as medidas apropriadas antes da expiração para que os aplicativos que usam ACS continuem funcionando corretamente sem interrupção.

Importante

Acompanhe a expiração e a renovação de certificados, chaves e senhas usados pelo namespace Controle de Acesso, aplicativos de terceira parte confiável, identidades de serviço e a conta do Serviço de Gerenciamento do ACS.

Objetivos

  • Faça uma lista dos certificados e chaves que precisam ser acompanhados em relação às datas de expiração

  • Estruture em tópicos os procedimentos de renovação para os certificados e chaves

    Importante

    Consulte a seção certificado, credencial ou chave específica neste tópico para conhecer as mensagens de erro e o processo de renovação.

Visão geral

Como os certificados expirarão, a prática recomendada é carregar um novo certificado bem antes da expiração do certificado vigente. As etapas de alto nível devem ser realizadas da seguinte forma:

  • Carregue um novo certificado secundário.

  • Notifique os parceiros que utilizam o serviço da futura alteração. Os parceiros devem utilizar essa configuração de certificado para suas terceiras partes confiáveis (por exemplo, uma impressão digital do certificado configurada em web.config no nodo trustedIssuers em um aplicativo Web ASP.NET)

  • Altere a autenticação para o novo certificado (marque-o como principal) e guarde o anterior por um período de carência.

  • Após o término do período de carência, remova o certificado antigo. 

Quando um certificado ou uma chave expira, as tentativas do ACS de emitir tokens falham e o aplicativo de terceira parte confiável não pode operar corretamente. O ACS ignora certificados e chaves expirados, resultando nas mesmas exceções que seriam geradas se nenhum certificado ou chave fosse configurado.

As seções a seguir fornecem informações sobre como gerenciar certificados e chaves que o ACS usa, como renová-los e como identificar certificados e chaves que estão prestes a expirar ou expiraram.

  • Para gerenciar certificados e chaves para namespaces Controle de Acesso e aplicativos de terceira parte confiável, use a página Certificados e Chaves do Portal de Gerenciamento do ACS. Para obter mais informações sobre esses tipos de credencial, consulte Certificados e Chaves.

  • Para gerenciar credenciais (certificados, chaves ou senhas) de identidades de serviço, use a página identidades de serviço do Portal de Gerenciamento do ACS. Para obter mais informações sobre identidades de serviço, consulte Identidades de Serviço.

  • Para gerenciar credenciais (certificados, chaves ou senhas) de contas do Serviço de Gerenciamento do ACS, use a página Serviço de Gerenciamento do Portal de Gerenciamento do ACS. Para obter mais informações sobre o Serviço de Gerenciamento do ACS, consulte o Serviço de Gerenciamento do ACS.

  • Para gerenciar certificados para os provedores de identidade do Web Services Federation, como o AD FS 2.0, utilize a página Provedores de Identidade no Portal de Gerenciamento ACS. Para obter mais informações, consulte WS-Federation certificado do provedor de identidade e provedores de identidade WS-Federation.

    Para exibir e atualizar WS-Federation certificados e chaves do provedor de identidade programaticamente, use o Serviço de Gerenciamento do ACS. Para verificar as datas efetivas de um certificado, consulte os valores das propriedades StartDate e EndDate da entidade IdentityProviderKey . Para obter mais informações, baixe o exemplo de código KeyManagement, Exemplo de Código: Gerenciamento de Chaves.

Quando você solicita um token assinado por um certificado ou chave expirado, o ACS lança exceções que têm códigos de erro ACS específicos para o certificado ou chave. Consulte as seções abaixo para ver códigos de erro específicos.

Certificados e chaves disponíveis

A lista a seguir exibe os certificados e as chaves disponíveis que são usados no ACS e devem ser rastreados para datas de expiração:

Importante

Consulte a seção certificado, credencial ou chave específica neste tópico para conhecer as mensagens de erro e o processo de renovação.

  • Certificados de autenticação de tokens

  • Chaves de autenticação de token

  • Certificados de criptografia de token

  • Certificados de descriptografia de token

  • Credenciais de identidade de serviço

  • Credenciais da conta do Serviço de Gerenciamento do ACS

  • Certificados de criptografia e autenticação do provedor de identidade do Web Services Federation

O resto do tópico discute detalhadamente cada certificado e chave.

Certificados de autenticação de tokens

O ACS assina todos os tokens de segurança que ele emite. Utiliza o certificado X.509 para autenticar os tokens SAML para aplicativos.

Quando um certificado de autenticação expira, o ACS retorna os seguintes erros quando um token é solicitado:

Código do Erro Mensagem Medida

ACS50004

Nenhum certificado de autenticação X.509 principal está configurado. Um certificado de autenticação é obrigatório para o SAML.

Se a terceira parte confiável escolhida usar tokens SAML, verifique se um certificado X.509 válido está configurado para a terceira parte confiável ou o namespace Controle de Acesso. O certificado deve ser definido como principal e não pode estar expirado.

Para renovar um certificado de autenticação:

  1. Vá para o Portal de Gerenciamento do Microsoft Azure (https://manage.WindowsAzure.com), entre e clique em Active Directory. (Dica de solução de problemas: o item "Active Directory" está ausente ou não está disponível)

  2. Para gerenciar um namespace do Access Control, selecione o namespace e clique em Gerenciar. (Or, clique em Namespaces do Access Control, selecione o namespace e clique em Gerenciar.)

  3. Clique em Certificados e Chaves.

  4. Selecione um certificado com o status de Próximo de expirar ou Expirado.

    Observação

    Na seção Certificados e Chaves, os certificados e as chaves do namespace Controle de Acesso são rotulados como Namespace de Serviço.

  5. Insira ou gere um certificado conforme necessário.

  6. Atualize as datas de Vigência e Expiração.

  7. Clique em Salvar para finalizar.

Chave de autenticação do token

O ACS assina todos os tokens de segurança que ele emite. O ACS usa chaves de assinatura simétricas de 256 bits para aplicativos que consomem tokens SWT emitidos pelo ACS.

Quando as chaves de autenticação expirarem, o ACS retornará os seguintes erros quando você solicitar um token:

Código do Erro Mensagem Medida

ACS50003

Nenhuma chave de autenticação simétrica principal configurada. Uma chave de autenticação simétrica é obrigatória para o SWT.

Se a terceira parte confiável escolhida usar SWT como seu tipo de token, verifique se uma chave simétrica está configurada para a terceira parte confiável ou o namespace Controle de Acesso e se a chave está definida como primária e não está expirada.

Para renovar uma chave de autenticação;

  1. Vá para o Portal de Gerenciamento do Microsoft Azure (https://manage.WindowsAzure.com), entre e clique em Active Directory. (Dica de solução de problemas: o item "Active Directory" está ausente ou não está disponível)

  2. Para gerenciar um namespace do Access Control, selecione o namespace e clique em Gerenciar. (Or, clique em Namespaces do Access Control, selecione o namespace e clique em Gerenciar.)

  3. Clique em Certificados e Chaves.

  4. Selecione uma chave com o status de Próxima de expirar ou Expirada.

    Observação

    Na seção Certificados e Chaves, os certificados e as chaves do namespace Controle de Acesso são rotulados como Namespace de Serviço.

  5. Insira ou gere uma chave conforme necessário

  6. Atualize as datas de Vigência e Expiração.

  7. Clique em Salvar para finalizar.

Certificados de criptografia de token

A criptografia do token é obrigatória quando um aplicativo de parte confiável é um serviço Web que utiliza tokens de comprovante de posse com o protocolo WS-Trust. Em outros casos, a criptografia do token é opcional.

Quando os certificados de criptografia expiram, o ACS retorna os seguintes erros quando um token é solicitado:

Código do Erro Mensagem Medida

ACS50005

A criptografia do token é obrigatória, mas nenhum certificado de criptografia está configurado para a parte confiável.

Desabilite a criptografia do token para a parte confiável escolhida ou carregue um certificado X.509 para ser usado com a criptografia do token.

Para renovar um certificado de criptografia:

  1. Vá para o Portal de Gerenciamento do Microsoft Azure (https://manage.WindowsAzure.com), entre e clique em Active Directory. (Dica de solução de problemas: o item "Active Directory" está ausente ou não está disponível)

  2. Para gerenciar um namespace do Access Control, selecione o namespace e clique em Gerenciar. (Or, clique em Namespaces do Access Control, selecione o namespace e clique em Gerenciar.)

  3. Clique em Certificados e Chaves.

  4. Selecione um certificado com o status de Próximo de expirar ou Expirado.

    Observação

    Na seção Certificados e Chaves, os certificados e as chaves do namespace Controle de Acesso são rotulados como Namespace de Serviço.

  5. Insira ou navegue até o novo arquivo de certificado e insira a senha desse arquivo.

  6. Clique em Salvar para finalizar.

Certificados de descriptografia de token

O ACS pode aceitar tokens criptografados de provedores de identidade WS-Federation, como o AD FS 2.0. O ACS usa um certificado X.509 hospedado no ACS para descriptografia.

Quando os certificados de descriptografia expiram, o ACS retorna os seguintes erros quando um token é solicitado:

Código do Erro Mensagem

ACS10001

Ocorreu um erro durante o processamento do cabeçalho SOAP.

ACS20001

Ocorreu um erro durante o processamento de uma resposta de conexão do Web Services Federation.

Para renovar um certificado de descriptografia:

  1. Vá para o Portal de Gerenciamento do Microsoft Azure (https://manage.WindowsAzure.com), entre e clique em Active Directory. (Dica de solução de problemas: o item "Active Directory" está ausente ou não está disponível)

  2. Para gerenciar um namespace do Access Control, selecione o namespace e clique em Gerenciar. (Or, clique em Namespaces do Access Control, selecione o namespace e clique em Gerenciar.)

  3. Clique em Certificados e Chaves.

  4. Use a seção Certificados e Chaves no Portal de Gerenciamento do ACS para gerenciar certificados ou chaves relacionadas a namespaces Controle de Acesso e aplicativos de terceira parte confiável.

  5. Selecione um certificado com o status de Próximo de expirar ou Expirado.

    Observação

    Na seção Certificados e Chaves, os certificados e as chaves do namespace Controle de Acesso são rotulados como Namespace de Serviço.

  6. Insira ou navegue até o arquivo do novo certificado e insira a senha do arquivo.

  7. Clique em Salvar para finalizar.

Credenciais de identidade de serviço

As identidades de serviço são credenciais configuradas globalmente para o namespace Controle de Acesso. Eles permitem que aplicativos ou clientes se autentiquem diretamente com o ACS e recebam um token. Uma identidade de serviço ACS pode usar chaves simétricas, senhas e certificados X.509. O ACS gera as seguintes exceções quando as credenciais expiram.

Credencial Código do Erro Mensagem Medida

Chave simétrica, senha

ACS50006

Erro ao verificar a assinatura. (Mais detalhes na mensagem.)

Certificado X.509

ACS50016

X509Certificate com a entidade '<Nome> da entidade de certificado' e impressão digital '<Impressão digital> do certificado' não corresponde a nenhum certificado configurado.

Certifique-se de que o certificado solicitado foi carregado no ACS.

Para verificar e atualizar datas de expiração de chaves simétricas ou senha ou carregar novo certificado como credenciais de identidade de serviço, siga as instruções descritas em Como adicionar identidades de serviço com um certificado X.509, senha ou chave simétrica. A lista de credenciais de identidade de serviço está disponível na página Editar Identidade de Serviço.

  1. Vá para a página Identidades de serviço no Portal de Gerenciamento do ACS.

  2. Selecione uma identidade de serviço.

  3. Selecione uma credencial, chave simétrica, senha ou certificado X.509 com o status Expirado(a) ou Próximo(a) de expirar.

  4. Para uma chave simétrica, insira ou gere uma nova chave e insira as datas de Vigência e Expiração. Clique em Salvar.

  5. Para uma senha. insira uma nova senha e insira as datas de Vigência e Expiração. Clique em Salvar.

  6. Para um certificado X.509, insira ou navegue até o arquivo de um novo certificado e depois clique em Salvar.

Credenciais do Serviço de Gerenciamento

O Serviço de Gerenciamento do ACS é um componente fundamental do ACS que permite gerenciar e definir configurações programaticamente em um namespace Controle de Acesso. Uma conta do Serviço de Gerenciamento do ACS pode usar chaves simétricas, senhas e certificados X.509. Se essas credenciais expirarem, o ACS lançará as seguintes exceções.

Credencial Código do Erro Mensagem Medida

Chave simétrica ou senha

ACS50006

Erro ao verificar a assinatura. (Pode haver mais detalhes na mensagem.)

Certificado X.509

ACS50016

X509Certificate com a entidade '<Nome> da entidade de certificado' e impressão digital '<Impressão digital> do certificado' não corresponde a nenhum certificado configurado.

Certifique-se de que o certificado solicitado foi carregado no ACS.

A lista de credenciais da conta do Serviço de Gerenciamento do ACS é exibida na página Editar Conta do Serviço de Gerenciamento no Portal de Gerenciamento do ACS.

  1. Acesse a página de serviço gerenciamento no Portal de Gerenciamento do ACS.

  2. Selecione uma conta de serviço de gerenciamento.

  3. Selecione credenciais, chaves simétricas, senhas ou certificado X.509 com um status expirado ou quase expirado.

  4. Para uma chave simétrica, insira ou gere uma nova chave e insira datas efetivas e de expiração . Clique em Salvar.

  5. Para uma senha. insira uma nova senha e insira as datas de Vigência e Expiração. Clique em Salvar.

  6. Para um certificado X.509, insira ou navegue até um novo certificado e depois clique em Salvar.

Certificado do provedor de identidade do Web Services Federation

O documento de metadados de federação para um provedor de identidade do Web Services Federation inclui uma impressão digital que identifica o certificado X.509 que é usado para autenticar tokens para o provedor de identidade.

Para determinar se um certificado do provedor de identidade WS-Federation está dentro do intervalo de suas datas efetivas, use o Serviço de Gerenciamento do ACS ou o Portal de Gerenciamento do ACS.

Para usar o Portal de Gerenciamento ACS:

  1. Faça logon no Portal https://manage.WindowsAzure.comde Gerenciamento do Azure.

  2. Selecione um namespace do Controle de Acesso e depois clique em Gerenciar. (Ou clique em Namespaces do Controle de Acesso, selecione um namespace do Controle de Acesso e depois clique em Gerenciar.

  3. No Portal de Gerenciamento ACS, clique em Provedores de Identidade e depois selecione um provedor de identidade do Web Services Federation.

  4. Na seção Certificados de autenticação de token, veja as datas de vigência e o Status do certificado do provedor de identidade do Web Services Federation.

  5. Se o status de certificação for Expirado(a) ou Próximo(a) de expirar, verifique se o provedor de identidade do Web Services Federation (AD FS ou um provedor de identidade personalizado) adicionou um certificado de autenticação secundário.

    Se você usou uma URL para identificar os metadados para o provedor de identidade do Web Services Federation, selecione Reimportar dados da URL dos metadados do Web Services Federation ao salvar e depois clique em Salvar. Se você carregou os metadados do Web Services Federation como um arquivo local, carregue novamente o arquivos de metadados do Web Services Federation e depois clique em Salvar.

Se o ACS receber um token de um provedor de identidade que é autenticado com um certificado expirado ou desconhecido, o ACS gerará a seguinte exceção.

Código do Erro Mensagem

ACS10001

Ocorreu um erro durante o processamento do cabeçalho SOAP.

ACS20001

Ocorreu um erro durante o processamento de uma resposta de conexão do Web Services Federation.

ACS50006

Erro ao verificar a assinatura. (Pode haver mais detalhes na mensagem.)

Consulte Também

Tarefas

Exemplo de código: Gerenciamento de chaves

Conceitos

Códigos de erro do ACS
Índice das diretrizes do ACS
Serviço de Gerenciamento ACS
Certificados e chaves
Como adicionar identidades de serviço com um certificado X.509, senha ou chave simétrica
Aplicativos de terceira parte confiável
Identidades de serviço