Voraussetzungen für die Installation

Abgesehen von den hier aufgeführten Voraussetzungen für die Orchestrator-Installation erfordert Identity Server Folgendes:

Zertifikat

Identity Server erfordert 2 gültige Zertifikate:

Ein Zertifikat für das HTTPS-Protokoll.
Ein Zertifikat, das zum Signieren der von Identity Server generierten Token verwendet wird.
Wichtig:
Aus Sicherheitsgründen muss das vom Identity Server verwendete Zertifikat:
- einen öffentlichen Schlüssel mit 2048 Bit haben
- über einen privaten Schlüssel verfügen, auf den der AppPool-Benutzer zugreifen kann,
- in seinem Gültigkeitszeitraum sein (nicht abgelaufen).
Der Speicherort des Zertifikats wird in der Konfigurationsdatei appsettings.Production.json von Identity Server im Abschnitt Signierungsanmeldeinformationen festgelegt.
Hinweis: Das Zertifikat wird zum Signieren von OpenID-Zugriffstoken verwendet, die für die Benutzeridentifizierung über den Browser und für die Dienst-zu-Dienst-Kommunikation zwischen Orchestrator und Identity Server verwendet werden. Klicken Sie hier für weitere Informationen zu OpenID Connect.

Zertifikatsrotation

Sie können die Zertifikatsrotation einsetzen, um das Risiko eines Ablaufs des Zertifikats und implizit eines Ausfalls von Identity Server zu vermeiden. Diese Methode beinhaltet die Beibehaltung von zwei Zertifikaten und deren regelmäßige Rotation. Beachten Sie jedoch, dass Sie jeweils nur einen Signaturschlüssel verwenden können.

Führen Sie die folgenden Schritte aus, um die Zertifikatsrotation zu initiieren:

Geben Sie Name, Location und NameType des ursprünglichen Zertifikats mithilfe des SigningCredential-Parameters in appsettings.Production.json im Abschnitt SigningCredential an. Beachten Sie, dass der erste Signaturschlüssel, den Sie registrieren, der Standardwert ist.
Geben Sie Name, Locationund NameType des zweiten Zertifikats an, indem Sie den Parameter ValidationKeys im gleichen Abschnitt der appsettings.Production.json-Datei verwenden. Stellen Sie sicher, dass Sie diesen Schritt vor dem Rotationsdatum ausführen.
In dieser Phase wird das zweite Zertifikat mit dem Endpunkt identity/.well-known/openid-configuration/jwks veröffentlicht. Dadurch wird sichergestellt, dass jeder genügend Zeit hat, sein zwischengespeichertes Discovery-Dokument zu aktualisieren.
Wechseln Sie zum Zeitpunkt der Rotation die Zertifikate, und starten Sie Identity Server neu. Das neue Zertifikat kann nun zum Signieren verwendet werden, während das vorherige Zertifikat weiterhin für Validierungszwecke verfügbar ist, solange Sie es benötigen.
Das vorherige Zertifikat kann nach 48 Stunden sicher aus der Konfiguration entfernt werden.

Im folgenden Beispiel verweist SigningCredential auf das aktuell verwendete Zertifikat, während ValidationKeys auf den neu veröffentlichten Validierungsschlüssel verweist.

"SigningCredentialSettings": {
      "StoreLocation": {
        "SigningCredential": {
            "Name": "2816a67bc34496ca0acabbe04eb149b88ade0684",
            "Location": "LocalMachine",
            "NameType" : "Thumbprint"
        },
        "ValidationKeys": [
            {
            "Name": "2cde6c443f0147c6258a6fe2203e71a997bfcd44",
            "Location": "LocalMachine",
            "NameType" : "Thumbprint"
            }
        ]
      }
    }"SigningCredentialSettings": {
      "StoreLocation": {
        "SigningCredential": {
            "Name": "2816a67bc34496ca0acabbe04eb149b88ade0684",
            "Location": "LocalMachine",
            "NameType" : "Thumbprint"
        },
        "ValidationKeys": [
            {
            "Name": "2cde6c443f0147c6258a6fe2203e71a997bfcd44",
            "Location": "LocalMachine",
            "NameType" : "Thumbprint"
            }
        ]
      }
    }