我正在制作Thinktecture IdentityServer v3的演示。 目的是让身份验证服务器在Azure网站下运行。
将有其他(不止一个) Azure网站使用身份验证服务器来认证用户。
根据入门指南(请参见https://github.com/thinktecture/Thinktecture.IdentityServer.v3/wiki/Getting-started),我已经基本实现了这个目标。
我的问题在于证书。
对于演示,我想创建自己的证书,但是我不确定需要做什么。 任何指导都会有所帮助。
我对此还有其他问题:
严格来说,您需要两个证书——一个用于SSL,一个用于签名——从技术上讲,它们可以是相同的,但不必如此。它们也有不同的要求。
对于SSL,您需要拥有一个在客户端受信任列表中的证书。通常这要么是商业CA的证书,要么是内部PKI的证书。
对于签名证书,您可以自己生成——例如使用makecert。
IdSrv在加载证书方面非常灵活——您可以从任意来源检索证书——通常是从Windows证书存储(当您具有管理员级别访问服务器时)或文件系统、或从嵌入式资源中检索。
我们的示例主机使用了嵌入式资源方法,这对于Azure WebSites运作良好。对于生产场景,您通常需要更多的灵活性(例如进行卷动),因此我建议考虑从blob存储等地方进行加载。
在 least privilege 的基础上,我认为“正确”的方法是将它们安装在 Azure 信任存储中,但在我的情况下,我使用嵌入资源提供了它们,就像 idsrv3 示例中一样。
以下是对我有用的一些具体细节。创建自签名证书:
"C:\Program Files (x86)\Windows Kits\8.1\bin\x64\makecert.exe" -r -pe -n "CN=MyAppIdentity" -sky signature MyApp.cer -sv MyApp.pvk
"C:\Program Files (x86)\Windows Kits\8.1\bin\x64\pvk2pfx.exe" -pvk MyApp.pvk -spc MyApp.cer -pfx MyApp.pfx -pi MyPassword -po MyPassword
尽管pvk2pfx.exe文档中提到,如果不提供-po,则pfx文件将不能保持与pvk相同的密码,使用X509Certificate2()时会因密码问题而失败。
对我来说,在Azure上使用idsrv3示例代码时,idsrv3示例证书可以正常工作:
var assembly = typeof(Certificate).Assembly;
using (var stream = assembly.GetManifestResourceStream("MyCompany.Identity.Website.Config.idsrv3test.pfx"))
{
return new X509Certificate2(ReadStream(stream), "idsrv3test");
}
然而,当我制作自己的证书时,在使用上述代码进行本地测试时,一切正常,但在Azure上,我不得不添加一些额外的标志才能使其正常工作。我并不确定使用这些标志的影响,但它们有效,所以这是一个开始:
using (var stream = assembly.GetManifestResourceStream("MyCompany.Identity.Website.Config.MyApp.pfx"))
{
return new X509Certificate2(ReadStream(stream),
"MyPassword",
X509KeyStorageFlags.MachineKeySet | X509KeyStorageFlags.PersistKeySet | X509KeyStorageFlags.Exportable);
}