- Primeros pasos
- Requisitos
- Mejores prácticas
- Instalación
- Actualizando
- Servidor de identidad
- Solución de problemas de errores de inicio
Guía de instalación de Orchestrator
Requisitos previos para la instalación
Además de los requisitos previos aquí indicados para la instalación de Orchestrator, Identity Server necesita certificados válidos.
Identity Server requiere los siguientes certificados válidos:
- Un certificado para el protocolo HTTPS.
-
A certificate used to sign the tokens generated by the Identity Server.The certificate is used for signing OpenID access tokens that are used for user identification via browser and for service-to-service communication between Orchestrator and Identity Server. Click here for more details about OpenID Connect.
Importante:Puedes utilizar una longitud máxima de clave de 4096 bits para firmar certificados. Te recomendamos encarecidamente que utilices una longitud de clave de al menos 512 bits (64 bytes) como práctica recomendada.
Importante:Por motivos de seguridad, el certificado utilizado por Identity Server debe:
- tener una clave pública en 2048 bits
- tener una clave privada accesible por el usuario de AppPool,
- estar en su periodo de validez (no haber caducado).
La ubicación del certificado está establecida en el archivo de configuración de Identityappsettings.Production.jsonServer, en la sección Credencial de firma.
Puedes emplear la rotación de certificados para evitar el riesgo de vencimiento de los certificados y, por tanto, que Identity Server deje de funcionar. Este método implica mantener dos certificados y rotarlos periódicamente. Sin embargo, ten en cuenta que solo puedes utilizar una clave de firma cada vez.
Para iniciar el proceso de rotación de certificados, sigue los siguientes pasos:
- Especifica
Name,NameTypeyLocationdel certificado inicial utilizando el parámetroStoreLocationen la sección SigningCredentialSettings deappsettings.Production.json. Ten en cuenta que esta es la clave de firma predeterminada. - Especifica el
Namedel segundo certificado,Location, yNameTypeutilizando el parámetroValidationKeysen la misma sección del archivoappsettings.Production.json. Asegúrate de completar este paso antes de la fecha de rotación. - En esta etapa, el segundo certificado se publica utilizando el punto
identity/.well-known/openid-configuration/jwksfinal. Esto garantiza que todos tengan tiempo suficiente para actualizar su documento de descubrimiento en caché. - En el momento de la rotación, cambia los certificados y reinicia Identity Server. El nuevo certificado se puede utilizar para firmar, mientras que el anterior sigue disponible para fines de validación siempre que lo necesites.
- El certificado anterior se puede eliminar de forma segura de la configuración después de 48 horas.
SigningCredential hace referencia al certificado utilizado actualmente, mientras que ValidationKeys hace referencia a la clave de validación recientemente publicada.
"SigningCredentialSettings": {
"StoreLocation": {
"Name": "2816a67bc34496ca0acabbe04eb149b88ade0684",
"Location": "LocalMachine",
"NameType" : "Thumbprint",
"ValidationKeys": [
{
"Name": "2cde6c443f0147c6258a6fe2203e71a997bfcd44",
"Location": "LocalMachine",
"NameType" : "Thumbprint"
}
]
}
}"SigningCredentialSettings": {
"StoreLocation": {
"Name": "2816a67bc34496ca0acabbe04eb149b88ade0684",
"Location": "LocalMachine",
"NameType" : "Thumbprint",
"ValidationKeys": [
{
"Name": "2cde6c443f0147c6258a6fe2203e71a997bfcd44",
"Location": "LocalMachine",
"NameType" : "Thumbprint"
}
]
}
}AppSettings.Production.json
AppSetting.Production.json .
Para rotar los certificados de firma, manteniendo la configuración de cifrado segura, procede de la siguiente manera:
- Descifra el archivo
AppSettings.Production.json. - Actualice el certificado de firma en el archivo
AppSettings.Production.json. - Vuelve a encriptar archivo
AppSettings.Production.json. - Reinicie el Identity Server.
