导出 (0) 打印
全部展开
展开 最小化

操作方法:使用 X.509 证书配置 ACS 与 ASP.NET Web 应用程序之间的信任

发布时间: 2011年4月

更新时间: 2015年3月

应用到: Azure

  • Microsoft Azure Active Directory 访问控制(也称为访问控制服务或 ACS)

  • ASP.NET

本主题介绍如何配置应用程序和 ACS 之间的信任。可通过对 ASP.NET Web 应用程序和 ACS 之间交换的令牌进行签名建立信任。

  • 目标

  • 概述

  • 步骤摘要

  • 步骤 1 – 导航到令牌签名证书部分

  • 步骤 2 - 使用 X.509 证书配置信任

  • 步骤 3 - 检查 web.config 和 ACS 管理门户中与信任相关的属性

  • 熟悉 ACS 管理门户上的信任管理部分。

  • 使用 X.509 证书管理信任。

  • 在 web.config 中和管理门户上验证所需的配置。

若要正确地在应用程序和 ACS 之间交换令牌,需要建立信任。信任可以确保令牌在传输过程中不会被篡改,并且令牌由受信任方颁发。对于 ASP.NET Web 应用程序,信任使用 X.509 证书进行管理,并且信任基于 ACS 管理门户配置和 web.config 配置。

若要在 ASP.NET Web 应用程序和 ACS 之间建立信任并对信任进行管理,请执行以下步骤:

  • 步骤 1 – 导航到令牌签名证书部分

  • 步骤 2 - 使用 X.509 证书配置信任

  • 步骤 3 - 检查 web.config 和 ACS 管理门户中与信任相关的属性

此步骤说明如何导航到 ACS 管理门户上的信任管理部分。

  1. 转到 Microsoft Azure 管理门户 (https://manage.WindowsAzure.com) 并登录,然后单击“Active Directory”。(故障排除提示:“Active Directory”项缺失或不可用

  2. 若要管理访问控制命名空间,请选择该命名空间,然后单击“管理”。(或者,单击“访问控制命名空间”,选择命名空间,然后单击“管理”。)

  3. 在 ACS门户中单击“信赖方应用程序”。

  4. 单击一个信赖方应用程序。

  5. 在“编辑信赖方应用程序”页上,向下滚动到“令牌签名证书”部分。

  6. 选择一个证书。

此步骤说明如何使用 X.509 证书配置和管理 ASP.NET Web 应用程序与 ACS 之间的信任。如果在信赖方应用程序中使用的是 Windows® Identity Foundation (WIF),请使用 X.509 证书签名凭据。

  1. 转到 Microsoft Azure 管理门户 (https://manage.WindowsAzure.com) 并登录,然后单击“Active Directory”。(故障排除提示:“Active Directory”项缺失或不可用

  2. 若要管理访问控制命名空间,请选择该命名空间,然后单击“管理”。(或者,单击“访问控制命名空间”,选择命名空间,然后单击“管理”。)

  3. 单击“证书和密钥”,然后选择一个 X.509 证书。

  4. 在“编辑令牌签名证书或密钥”页上,提供以下值:

    • 名称:所选的任意名称。

    • 类型:“X.509 证书”。

    • 证书:若要使用 ACS 默认创建的证书,则无需执行任何操作。你也可以上载自己的 X.509 证书。

      该证书应受密码保护。它通常带有 .pfx 扩展名。上载自己的 X.509 证书时,在“密码”文本框中提供 pfx 文件密码。

    • Password:如果使用默认证书,则无需执行任何操作。如果上载证书,该证书应受密码保护。在“密码”文本框中提供 pfx 文件密码。

  5. 单击“保存”

有多种方法可以获取 X.509 证书进行令牌签名或加密。所使用的方法取决于你的需求和向组织提供的工具。

本地证书颁发机构

如果组织已部署 Active Directory 证书服务 (AD CS) 之类的证书颁发机构 (CA),则你可以请求 X.509 证书。你可能需要与证书颁发机构管理员联系以获取相关说明或权限。有关 Active Directory 证书服务的详细信息,请参阅 Active Directory 证书服务 (http://go.microsoft.com/fwlink/?linkid=208371)。

商业证书颁发机构

你可以从商业证书颁发机构(如 Verisign)购买 X.509 证书。由于这是实验室版本,因此建议你使用本地证书颁发机构(如果有)或生成自签名证书(参阅以下内容)。

生成自签名证书

你可以使用软件生成自己的自签名证书用于 ACS。虽然通常仅建议将这种方法用于测试目的,但如果任何人无权访问本地 CA,或者不希望向商业 CA 支付费用,则这种方法也可以完成。如果你运行的是 Windows,可以将 MakeCert.exe 作为 Windows SDK (http://go.microsoft.com/fwlink/?linkid=84091) 的一部分下载,并使用 MakeCert.exe 生成证书。

导出自签名证书

有关如何导出自签名证书的说明,请参阅证书和密钥

此步骤说明如何在 ASP.NET Web 应用程序的 web.config 中验证与信任相关的配置属性。

  1. 打开 ASP.NET Web 应用程序的 web.config 文件。

  2. 导航到“audiencesUris”节点,确保其“添加”子节点的值与你在 ACS 管理门户“编辑信赖方”页上的“领域”属性中配置的值相同。

    1. 转到 Microsoft Azure 管理门户 (https://manage.WindowsAzure.com) 并登录,然后单击“Active Directory”。(故障排除提示:“Active Directory”项缺失或不可用

    2. 若要管理访问控制命名空间,请选择该命名空间,然后单击“管理”。(或者,单击“访问控制命名空间”,选择命名空间,然后单击“管理”。)

    3. 单击“信赖方应用程序”。

    4. 在“信赖方应用程序”页上,单击所需的应用程序。

    5. 在“编辑信赖方应用程序”页上,查看“领域”属性。

另请参阅

社区附加资源

添加
显示:
© 2015 Microsoft