Практическое руководство. Настройка доверия между ACS и веб-приложениями ASP.NET с помощью сертификатов X.509

Обновлено: 19 июня 2015 г.

Область применения: Azure

Применяется к

• Microsoft Azure Active Directory Access Control (также называется Access Control Service или ACS)

• ASP.NET

Сводка

В этом разделе описывается настройка доверия между приложением и ACS. Доверие устанавливается путем подписывания маркеров, которые обмениваются между веб-приложением ASP.NET и ACS.

Содержимое

• Задачи

• Обзор

• Сводка действий

• Шаг 1. Перейдите в раздел «Сертификаты подписи токена»

• Шаг 2. Настройка доверия с использованием сертификатов X.509

• Шаг 3. Просмотрите атрибуты, связанные с доверием в файле web.config и портале управления ACS

Задачи

• Ознакомьтесь с разделом управления доверием на портале управления ACS.

• Управление доверием с использованием сертификатов X.509.

• Проверьте необходимые настройки в файле web.config и на портале управления.

Обзор

Для правильного обмена маркерами между приложением и ACS требуется установление доверия. Доверие гарантирует, что токены не подделаны во время передачи и были выданы доверенной стороной. Для ASP.NET доверия веб-приложений управляется с помощью сертификатов X.509 и основан на конфигурации портала управления ACS и конфигурации web.config.

Сводка действий

Чтобы установить доверие между веб-приложением ASP.NET и ACS и управлять им, выполните следующие действия.

• Шаг 1. Перейдите в раздел «Сертификаты подписи токена»

• Шаг 2. Настройка доверия с использованием сертификатов X.509

• Шаг 3. Просмотрите атрибуты, связанные с доверием в файле web.config и портале управления ACS

Шаг 1. Перейдите в раздел «Сертификаты подписи токена»

На этом шаге показано, как перейти к разделу управления доверием на портале управления ACS.

Переход к разделу, связанному с управлением доверием на портале управления

1. Перейдите на портал управления Microsoft Azure (https://manage.WindowsAzure.com), войдите в систему и щелкните Active Directory. (Совет по устранению неполадок: элемент Active Directory отсутствует или недоступен)

2. Для выполнения управления пространством имен Access Control выберите пространство имен и щелкните Управление. (Или щелкните Пространства имен Access Control, выберите пространство имен, а затем щелкните Управление.)

3. На портале ACS щелкните приложения проверяющей стороны.

4. Щелкните приложение проверяющей стороны.

5. На странице Изменение приложения проверяющей стороны прокрутите вниз до раздела Сертификаты подписи токенов.

6. Выберите сертификат.

Шаг 2. Настройка доверия с использованием сертификатов X.509

На этом шаге показано, как настроить доверие между ACS и веб-приложением ASP.NET и управлять им с помощью сертификата X.509. Используйте учетные данные подписи сертификата X.509, если в приложении проверяющей стороны используется Windows® Identity Foundation (WIF).

Настройка доверия и управление им с помощью сертификата X.509

1. Перейдите на портал управления Microsoft Azure (https://manage.WindowsAzure.com), войдите в систему и щелкните Active Directory. (Совет по устранению неполадок: элемент Active Directory отсутствует или недоступен)

2. Для выполнения управления пространством имен Access Control выберите пространство имен и щелкните Управление. (Или щелкните Пространства имен Access Control, выберите пространство имен, а затем щелкните Управление.)

3. Щелкните Сертификаты и ключи и выберите сертификат X.509.

4. На странице Изменение токена подписи сертификата или ключа укажите следующие значения.

   • Имя: произвольное имя выбранного варианта.

   • Тип: сертификат X.509.

   • Сертификат. Чтобы использовать сертификат, создаваемый ACS по умолчанию, никаких действий не требуется. Можно также отправить собственный сертификат X.509.

     Сертификат должен быть защищен паролем. Обычно он имеет расширение PFX. при отправке собственного сертификата X.509. Укажите пароль PFX-файла в текстовом поле "Пароль"

   • Пароль. Если вы используете сертификат по умолчанию, никаких действий не требуется. Если вы отправляете сертификат, он должен быть защищен паролем. Введите пароль файла .pfx в текстовое поле Пароль.

5. Выберите команду Сохранить.

Получение сертификата X.509

Существует несколько способов получить сертификат X.509 для шифрования или подписи токена. Используемый метод зависит от ваших требований и от инструментов, которые доступны в вашей организации.

Локальный центр сертификации

Если ваша организация развернула центр сертификации (ЦС), например службы сертификатов Active Directory (AD CS), можно запросить сертификат X.509. Может потребоваться обратиться к администратору центра сертификации за инструкциями или разрешениями. Дополнительные сведения о службах сертификатов Active Directory см. в разделе "Службы сертификатов Active Directory " (https://go.microsoft.com/fwlink/?linkid=208371).

Коммерческий центр сертификации

Можно приобрести сертификат X.509 от коммерческого центра сертификации, например Verisign. Поскольку это выпуск Labs, рекомендуется использовать локальный центр сертификации (если доступно) или создать самозаверяющий сертификат (см. ниже).

Создание сертификата Self-Signed

Вы можете использовать программное обеспечение для создания собственного самозаверяющего сертификата для использования с ACS. Хотя обычно это рекомендуется только для целей тестирования, это может сделать любой пользователь без доступа к локальным ЦС и оплаты в коммерческом центре сертификации. Если вы используете Windows, вы можете скачать MakeCert.exe в составе пакета SDK Windows (https://go.microsoft.com/fwlink/?linkid=84091) и использовать его для создания сертификата.

Экспорт самозаверяющего сертификата

Инструкции по экспорту самозаверяющего сертификата см. в разделе "Сертификаты и ключи".

Шаг 3. Просмотрите атрибуты, связанные с доверием в файле web.config и портале управления ACS

Этот шаг показывает, как проверить атрибуты конфигурации, связанные с доверием в файле web.config вашего веб-приложения ASP.NET.

Проверка настроек, относящихся к доверию в web.config веб-приложения ASP.NET

1. Откройте файл web.config для веб-приложения ASP.NET.

2. Перейдите к узлу audiencesUris и убедитесь, что значение дочернего узла добавления совпадает с этим значением, введенным в поле свойства Realm на странице "Изменение проверяющей стороны " на портале управления ACS.

   1. Перейдите на портал управления Microsoft Azure (https://manage.WindowsAzure.com), войдите в систему и щелкните Active Directory. (Совет по устранению неполадок: элемент Active Directory отсутствует или недоступен)

   2. Для выполнения управления пространством имен Access Control выберите пространство имен и щелкните Управление. (Или щелкните Пространства имен Access Control, выберите пространство имен, а затем щелкните Управление.)

   3. Щелкните Приложения проверяющей стороны.

   4. На странице Приложения проверяющей стороны щелкните нужное приложение.

   5. На странице Изменение приложения проверяющей стороны просмотрите атрибут область.

См. также:

Основные понятия

Практические советы по работе с ACS