- Primeros pasos
- Requisitos
- Mejores prácticas
- Instalación
- Actualizando
- Servidor de identidad
- Complemento de alta disponibilidad
- Solución de problemas de errores de inicio
Requisitos previos para la instalación
Además de los requisitos previos aquí indicados para la instalación de Orchestrator, Identity Server necesita certificados válidos.
Identity Server requiere los siguientes certificados válidos:
- Un certificado para el protocolo HTTPS.
-
Un certificado utilizado para firmar los tokens generados por Identity Server.
Importante:Por motivos de seguridad, el certificado utilizado por Identity Server debe:
- tener una clave pública en 2048 bits
- tener una clave privada accesible por el usuario de AppPool,
- estar en su periodo de validez (no haber caducado).
La ubicación del certificado está establecida en el archivo de configuración de Identityappsettings.Production.json
Server, en la sección Credencial de firma.Nota: el certificado se utiliza para firmar tokens de acceso de OpenID que se utilizan para la identificación del usuario a través del navegador y para la comunicación de servicio a servicio entre Orchestrator e Identity Server. Haz clic aquí para obtener más información sobre OpenID Connect.
Puedes emplear la rotación de certificados para evitar el riesgo de vencimiento de los certificados y, por tanto, que Identity Server deje de funcionar. Este método implica mantener dos certificados y rotarlos periódicamente. Sin embargo, ten en cuenta que solo puedes utilizar una clave de firma cada vez.
Para iniciar el proceso de rotación de certificados, sigue los siguientes pasos:
- Especifica
Name
,NameType
yLocation
del certificado inicial utilizando el parámetroStoreLocation
en la sección SigningCredentialSettings deappsettings.Production.json
. Ten en cuenta que esta es la clave de firma predeterminada. - Especifica el
Name
del segundo certificado,Location
, yNameType
utilizando el parámetroValidationKeys
en la misma sección del archivoappsettings.Production.json
. Asegúrate de completar este paso antes de la fecha de rotación. - En esta etapa, el segundo certificado se publica utilizando el punto
identity/.well-known/openid-configuration/jwks
final. Esto garantiza que todos tengan tiempo suficiente para actualizar su documento de descubrimiento en caché. - En el momento de la rotación, cambia los certificados y reinicia Identity Server. El nuevo certificado se puede utilizar para firmar, mientras que el anterior sigue disponible para fines de validación siempre que lo necesites.
- El certificado anterior se puede eliminar de forma segura de la configuración después de 48 horas.
SigningCredential
hace referencia al certificado utilizado actualmente, mientras que ValidationKeys
hace referencia a la clave de validación recientemente publicada.
"SigningCredentialSettings": {
"StoreLocation": {
"Name": "2816a67bc34496ca0acabbe04eb149b88ade0684",
"Location": "LocalMachine",
"NameType" : "Thumbprint",
"ValidationKeys": [
{
"Name": "2cde6c443f0147c6258a6fe2203e71a997bfcd44",
"Location": "LocalMachine",
"NameType" : "Thumbprint"
}
]
}
}
"SigningCredentialSettings": {
"StoreLocation": {
"Name": "2816a67bc34496ca0acabbe04eb149b88ade0684",
"Location": "LocalMachine",
"NameType" : "Thumbprint",
"ValidationKeys": [
{
"Name": "2cde6c443f0147c6258a6fe2203e71a997bfcd44",
"Location": "LocalMachine",
"NameType" : "Thumbprint"
}
]
}
}
AppSettings.Production.json
AppSetting.Production.json
.
Para rotar los certificados de firma, manteniendo la configuración de cifrado segura, procede de la siguiente manera:
- Descifra el archivo
AppSettings.Production.json
. - Actualice el certificado de firma en el archivo
AppSettings.Production.json
. - Vuelve a encriptar archivo
AppSettings.Production.json
. - Reinicie el Identity Server.