本文件已封存並已停止維護。

作法:使用 X.509 憑證設定 ACS 與 ASP.NET Web 應用程式之間的信任

發佈時間: 2011年4月

更新日期: 2015年6月

適用於: Azure

  • Microsoft Azure Active Directory 存取控制服務 (也稱為「存取控制服務」或 ACS)

  • ASP.NET

本主題說明如何在您的應用程式與 ACS 之間設定信任。信任可藉由簽署在您的 ASP.NET Web 應用程式與 ACS 之間交換的權杖來建立。

  • 目標

  • 概觀

  • 步驟摘要

  • 步驟 1 – 瀏覽至權杖簽署憑證區段

  • 步驟 2 - 使用 X.509 憑證設定信任

  • 步驟 3 - 在 web.config 和 ACS 管理入口網站中檢閱信任相關屬性

  • 熟悉 ACS 管理入口網站上的信任管理區段。

  • 使用 X.509 憑證管理信任。

  • 在 web.config 中和管理入口網站上確認必要的組態。

必須建立信任,才能在您的應用程式與 ACS 之間正確交換權杖。信任可確保權杖不會在傳輸時遭到竄改,並且是由受信任的一方所簽發。就 ASP.NET Web 應用程式而言,信任是使用 X.509 憑證來管理的,並且以 ACS 管理入口網站的組態和 web.config 組態為基礎。

若要建立及管理 ASP.NET Web 應用程式與 ACS 之間的信任,請遵循下列步驟:

  • 步驟 1 – 瀏覽至權杖簽署憑證區段

  • 步驟 2 - 使用 X.509 憑證設定信任

  • 步驟 3 - 在 web.config 和 ACS 管理入口網站中檢閱信任相關屬性

此步驟說明如何瀏覽至 ACS 管理入口網站的信任管理區段。

  1. 移至 Microsoft Azure 管理入口網站 (https://manage.WindowsAzure.com),登入後按一下 [Active Directory]。(疑難排解提示:"Active Directory" 項目遺失或無法使用)

  2. 若要管理存取控制命名空間,請選取該命名空間,然後按一下 [管理]。(或按一下 [存取控制命名空間]、選取 [命名空間],然後按一下 [管理])。

  3. 在 ACS 入口網站中,按一下 [信賴憑證者應用程式]。

  4. 按一下信賴憑證者應用程式。

  5. 在 [編輯信賴憑證者應用程式] 頁面上,向下捲動至 [權杖簽署憑證] 區段。

  6. 選取憑證。

此步驟說明如何使用 X.509 憑證設定及管理 ACS 與 ASP.NET Web 應用程式之間的信任。如果您在信賴憑證者應用程式中使用 Windows ® Identity Foundation (WIF),請使用 X.509 憑證簽署認證。

  1. 移至 Microsoft Azure 管理入口網站 (https://manage.WindowsAzure.com),登入後按一下 [Active Directory]。(疑難排解提示:"Active Directory" 項目遺失或無法使用)

  2. 若要管理存取控制命名空間,請選取該命名空間,然後按一下 [管理]。(或按一下 [存取控制命名空間]、選取 [命名空間],然後按一下 [管理])。

  3. 按一下 [憑證和金鑰],然後選取 X.509 憑證。

  4. 在 [編輯權杖簽署憑證或金鑰] 頁面上,提供下列值:

    • 名稱:您選擇的任意名稱。

    • 類型X.509 憑證

    • [憑證]:若要使用 ACS 依預設建立的憑證,則無需執行任何動作。您也可以上傳自己的 X.509 憑證。

      此憑證應受密碼保護。憑證通常具有 .pfx 副檔名。在上傳您自己的 X.509 憑證時,請在 [密碼] 文字方塊中提供 pfx 檔案密碼。

    • 密碼:如果您使用預設憑證,則無需執行任何動作。如果您上傳憑證,憑證應受密碼保護。在 [密碼] 文字方塊中輸入 .pfx 檔案密碼。

  5. 按一下 [儲存]

您可以透過數種方法取得權杖簽署或加密的 X.509 憑證。您使用的方法取決於您的需求和組織的可用工具。

本機憑證授權單位

如果您的組織已部署憑證授權單位 (CA),例如 Active Directory 憑證服務 (AD CS),則您可以要求 X.509 憑證。您可能需要連絡憑證授權單位管理員,以取得指示或權限。如需 Active Directory 憑證服務的詳細資訊,請參閱 Active Directory 憑證服務 (http://go.microsoft.com/fwlink/?linkid=208371)。

商業憑證授權單位

您可以向商業憑證授權單位 (例如 Verisign) 購買 X.509 憑證。由於這是實驗室版本,建議您使用您的本機憑證授權單位 (如果可用),或產生自我簽署憑證 (說明如下)。

產生自我簽署憑證

您可以使用軟體自行產生要用於 ACS 的自我簽署憑證。雖然這通常僅建議用於測試用途,但任何無法存取本機 CA 或購買商業 CA 的人,都可採用此方法。如果您執行 Windows,您可以下載 Windows SDK (http://go.microsoft.com/fwlink/?linkid=84091) 隨附的 MakeCert.exe,並用它來產生憑證。

匯出自我簽署憑證

如需如何匯出自我簽署憑證的指示,請參閱憑證和金鑰

此步驟說明如何在您 ASP.NET Web 應用程式的 web.config 中驗證與信任相關的組態屬性。

  1. 開啟 ASP.NET Web 應用程式的 web.config 檔案。

  2. 瀏覽至 audiencesUris 節點,並確認其子系 add 節點的值,與您在 ACS 管理入口網站的 [編輯信賴憑證者] 頁面的 [領域] 屬性欄位中輸入的值相同。

    1. 移至 Microsoft Azure 管理入口網站 (https://manage.WindowsAzure.com),登入後按一下 [Active Directory]。(疑難排解提示:"Active Directory" 項目遺失或無法使用)

    2. 若要管理存取控制命名空間,請選取該命名空間,然後按一下 [管理]。(或按一下 [存取控制命名空間]、選取 [命名空間],然後按一下 [管理])。

    3. 按一下 [信賴憑證者應用程式]。

    4. 在 [信賴憑證者應用程式] 頁面上,按一下所需的應用程式。

    5. 在 [編輯信賴憑證者應用程式] 頁面上,檢閱 [領域] 屬性。

另請參閱

概念

ACS 的作法

顯示: