- Erste Schritte
- Anforderungen
- Best Practices
- Installation
- Wird aktualisiert
- Identity Server
- Fehlerbehebung bei Startfehlern
Voraussetzungen für die Installation
Abgesehen von den hier aufgeführten Voraussetzungen für die Orchestrator-Installation benötigt der Identity Server gültige Zertifikate.
Identity Server erfordert folgende gültige Zertifikate:
- Ein Zertifikat für das HTTPS-Protokoll.
-
Ein Zertifikat, das zum Signieren der von Identity Server generierten Token verwendet wird.
Wichtig:Aus Sicherheitsgründen muss das vom Identity Server verwendete Zertifikat:
- einen öffentlichen Schlüssel mit 2048 Bit haben
- über einen privaten Schlüssel verfügen, auf den der AppPool-Benutzer zugreifen kann,
- in seinem Gültigkeitszeitraum sein (nicht abgelaufen).
Der Speicherort des Zertifikats wird in der Konfigurationsdateiappsettings.Production.jsonvon Identity Server im Abschnitt Signierungsanmeldeinformationen festgelegt.Hinweis: Das Zertifikat wird zum Signieren von OpenID-Zugriffstoken verwendet, die für die Benutzeridentifizierung über den Browser und für die Dienst-zu-Dienst-Kommunikation zwischen Orchestrator und Identity Server verwendet werden. Klicken Sie hier für weitere Informationen zu OpenID Connect.
Sie können die Zertifikatsrotation einsetzen, um das Risiko eines Ablaufs des Zertifikats und implizit eines Ausfalls von Identity Server zu vermeiden. Diese Methode beinhaltet die Beibehaltung von zwei Zertifikaten und deren regelmäßige Rotation. Beachten Sie jedoch, dass Sie jeweils nur einen Signaturschlüssel verwenden können.
Führen Sie die folgenden Schritte aus, um die Zertifikatsrotation zu initiieren:
- Geben Sie
Name,LocationundNameTypedes ursprünglichen Zertifikats mithilfe desStoreLocation-Parameters im Abschnitt SigningCredentialSettings vonappsettings.Production.jsonan. Beachten Sie, dass dies der Standardsignaturschlüssel ist. - Geben Sie
Name,LocationundNameTypedes zweiten Zertifikats an, indem Sie den ParameterValidationKeysim gleichen Abschnitt derappsettings.Production.json-Datei verwenden. Stellen Sie sicher, dass Sie diesen Schritt vor dem Rotationsdatum ausführen. - In dieser Phase wird das zweite Zertifikat mit dem Endpunkt
identity/.well-known/openid-configuration/jwksveröffentlicht. Dadurch wird sichergestellt, dass jeder genügend Zeit hat, sein zwischengespeichertes Discovery-Dokument zu aktualisieren. - Wechseln Sie zum Zeitpunkt der Rotation die Zertifikate, und starten Sie Identity Server neu. Das neue Zertifikat kann nun zum Signieren verwendet werden, während das vorherige Zertifikat weiterhin für Validierungszwecke verfügbar ist, solange Sie es benötigen.
- Das vorherige Zertifikat kann nach 48 Stunden sicher aus der Konfiguration entfernt werden.
SigningCredential auf das aktuell verwendete Zertifikat, während ValidationKeys auf den neu veröffentlichten Validierungsschlüssel verweist.
"SigningCredentialSettings": {
"StoreLocation": {
"Name": "2816a67bc34496ca0acabbe04eb149b88ade0684",
"Location": "LocalMachine",
"NameType" : "Thumbprint",
"ValidationKeys": [
{
"Name": "2cde6c443f0147c6258a6fe2203e71a997bfcd44",
"Location": "LocalMachine",
"NameType" : "Thumbprint"
}
]
}
}"SigningCredentialSettings": {
"StoreLocation": {
"Name": "2816a67bc34496ca0acabbe04eb149b88ade0684",
"Location": "LocalMachine",
"NameType" : "Thumbprint",
"ValidationKeys": [
{
"Name": "2cde6c443f0147c6258a6fe2203e71a997bfcd44",
"Location": "LocalMachine",
"NameType" : "Thumbprint"
}
]
}
}
