- Erste Schritte
- Anforderungen
- Best Practices
- Installation
- Wird aktualisiert
- Identity Server
- High Availability Add-on
- Fehlerbehebung bei Startfehlern
Voraussetzungen für die Installation
Abgesehen von den hier aufgeführten Voraussetzungen für die Orchestrator-Installation benötigt der Identity Server gültige Zertifikate.
Identity Server erfordert folgende gültige Zertifikate:
- Ein Zertifikat für das HTTPS-Protokoll.
-
Ein Zertifikat, das zum Signieren der von Identity Server generierten Token verwendet wird.
Wichtig:Aus Sicherheitsgründen muss das vom Identity Server verwendete Zertifikat:
- einen öffentlichen Schlüssel mit 2048 Bit haben
- über einen privaten Schlüssel verfügen, auf den der AppPool-Benutzer zugreifen kann,
- in seinem Gültigkeitszeitraum sein (nicht abgelaufen).
Der Speicherort des Zertifikats wird in der Konfigurationsdateiappsettings.Production.json
von Identity Server im Abschnitt Signierungsanmeldeinformationen festgelegt.Hinweis: Das Zertifikat wird zum Signieren von OpenID-Zugriffstoken verwendet, die für die Benutzeridentifizierung über den Browser und für die Dienst-zu-Dienst-Kommunikation zwischen Orchestrator und Identity Server verwendet werden. Klicken Sie hier für weitere Informationen zu OpenID Connect.
Sie können die Zertifikatsrotation einsetzen, um das Risiko eines Ablaufs des Zertifikats und implizit eines Ausfalls von Identity Server zu vermeiden. Diese Methode beinhaltet die Beibehaltung von zwei Zertifikaten und deren regelmäßige Rotation. Beachten Sie jedoch, dass Sie jeweils nur einen Signaturschlüssel verwenden können.
Führen Sie die folgenden Schritte aus, um die Zertifikatsrotation zu initiieren:
- Geben Sie
Name
,Location
undNameType
des ursprünglichen Zertifikats mithilfe desStoreLocation
-Parameters im Abschnitt SigningCredentialSettings vonappsettings.Production.json
an. Beachten Sie, dass dies der Standardsignaturschlüssel ist. - Geben Sie
Name
,Location
undNameType
des zweiten Zertifikats an, indem Sie den ParameterValidationKeys
im gleichen Abschnitt derappsettings.Production.json
-Datei verwenden. Stellen Sie sicher, dass Sie diesen Schritt vor dem Rotationsdatum ausführen. - In dieser Phase wird das zweite Zertifikat mit dem Endpunkt
identity/.well-known/openid-configuration/jwks
veröffentlicht. Dadurch wird sichergestellt, dass jeder genügend Zeit hat, sein zwischengespeichertes Discovery-Dokument zu aktualisieren. - Wechseln Sie zum Zeitpunkt der Rotation die Zertifikate, und starten Sie Identity Server neu. Das neue Zertifikat kann nun zum Signieren verwendet werden, während das vorherige Zertifikat weiterhin für Validierungszwecke verfügbar ist, solange Sie es benötigen.
- Das vorherige Zertifikat kann nach 48 Stunden sicher aus der Konfiguration entfernt werden.
SigningCredential
auf das aktuell verwendete Zertifikat, während ValidationKeys
auf den neu veröffentlichten Validierungsschlüssel verweist.
"SigningCredentialSettings": {
"StoreLocation": {
"Name": "2816a67bc34496ca0acabbe04eb149b88ade0684",
"Location": "LocalMachine",
"NameType" : "Thumbprint",
"ValidationKeys": [
{
"Name": "2cde6c443f0147c6258a6fe2203e71a997bfcd44",
"Location": "LocalMachine",
"NameType" : "Thumbprint"
}
]
}
}
"SigningCredentialSettings": {
"StoreLocation": {
"Name": "2816a67bc34496ca0acabbe04eb149b88ade0684",
"Location": "LocalMachine",
"NameType" : "Thumbprint",
"ValidationKeys": [
{
"Name": "2cde6c443f0147c6258a6fe2203e71a997bfcd44",
"Location": "LocalMachine",
"NameType" : "Thumbprint"
}
]
}
}
AppSettings.Production.json
-Verschlüsselung
AppSetting.Production.json
-Daten auswirken.
Um Signaturzertifikate zu rotieren und gleichzeitig die Verschlüsselung der Einstellungen zu schützen, gehen Sie wie folgt vor:
- Entschlüsselt die Datei
AppSettings.Production.json
. - Aktualisieren Sie das Signaturzertifikat in der Datei
AppSettings.Production.json
. - Verschlüsselt die Datei
AppSettings.Production.json
. - Starten Sie Identity Server neu.