安装前所需的必备程序

除了此处列出的 Orchestrator 安装先决条件外，Identity Server 还需要有效证书。

证书

Identity Server 需要以下有效证书：

HTTPS 协议证书。
用于对身份服务器生成的令牌进行签名的证书。
重要提示：
出于安全原因，身份服务器使用的证书需要：
- 具有 2048 位公钥
- 具有可由应用程序池用户访问的私钥，
- 处于有效期（未过期）。
证书的位置设置在身份服务器的配置文件 appsettings.Production.json 的签名凭据部分中。
注意：证书用于对 OpenID 访问令牌进行签名，这些令牌则是用于通过浏览器执行用户识别以及 Orchestrator 与身份服务器之间的服务到服务通信。单击此处了解有关 OpenID 连接的更多详细信息。

证书轮换

您可以采用证书轮换方法来避免证书过期和 Identity Server 中断的风险。此方法需要维护两个证书并定期对证书进行轮换。但是请注意，一次只能使用一个签名密钥。

要启动证书轮换过程，请执行以下步骤：

使用 appsettings.Production.json 的“签名信用设置”部分的 StoreLocation 参数指定初始证书的 Name、Location 和 NameType。请注意，这是默认的签名密钥。
在 appsettings.Production.json 文件的同一部分使用 ValidationKeys 参数指定第二个证书的 Name、Location 和 NameType。请确保在轮换日期之前完成此步骤。
在此阶段，使用 identity/.well-known/openid-configuration/jwks 端点发布第二个证书。这样可以确保每位用户都有足够的时间更新其缓存的发现文档。
在轮换时，切换证书并重新启动 Identity Server。现在，可以将新证书用于签名，而只要您需要，就可以继续使用之前的证书进行验证。
48 小时后，您可以从配置中安全地删除以前的证书。

在以下示例中，SigningCredential 引用当前使用的证书，而 ValidationKeys 引用新发布的验证密钥。

"SigningCredentialSettings": {
      "StoreLocation": {
        "Name": "2816a67bc34496ca0acabbe04eb149b88ade0684",
        "Location": "LocalMachine",
        "NameType" : "Thumbprint",
        "ValidationKeys": [
            {
            "Name": "2cde6c443f0147c6258a6fe2203e71a997bfcd44",
            "Location": "LocalMachine",
            "NameType" : "Thumbprint"
            }
        ]
      }
    }"SigningCredentialSettings": {
      "StoreLocation": {
        "Name": "2816a67bc34496ca0acabbe04eb149b88ade0684",
        "Location": "LocalMachine",
        "NameType" : "Thumbprint",
        "ValidationKeys": [
            {
            "Name": "2cde6c443f0147c6258a6fe2203e71a997bfcd44",
            "Location": "LocalMachine",
            "NameType" : "Thumbprint"
            }
        ]
      }
    }