orchestrator
2023.10
false
- 入门指南
- 要求
- 最佳实践
- 安装
- 正在更新
- 身份服务器
- 对启动错误进行故障排除
安装前所需的必备程序
Orchestrator 安装指南
安装前所需的必备程序
除了此处列出的 Orchestrator 安装先决条件外,Identity Server 还需要有效证书。
Identity Server 需要以下有效证书:
- HTTPS 协议证书。
-
用于对身份服务器生成的令牌进行签名的证书。证书用于对 OpenID 访问令牌进行签名,这些令牌则是用于通过浏览器执行用户识别以及 Orchestrator 与身份服务器之间的服务到服务通信。 单击此处了解有关 OpenID 连接的更多详细信息。
重要提示:您可以使用最大密钥长度 4096 位对证书进行签名。 作为最佳实践,我们强烈建议您使用至少 512 位(64 字节)长度的密钥。
重要提示:出于安全原因,身份服务器使用的证书需要:
- 具有 2048 位公钥
- 具有可由应用程序池用户访问的私钥,
- 处于有效期(未过期)。
证书的位置设置在身份服务器的配置文件appsettings.Production.json
的签名凭据部分中。
您可以采用证书轮换方法来避免证书过期和 Identity Server 中断的风险。此方法需要维护两个证书并定期对证书进行轮换。但是请注意,一次只能使用一个签名密钥。
要启动证书轮换过程,请执行以下步骤:
- 使用
appsettings.Production.json
的“签名信用设置”部分的StoreLocation
参数指定初始证书的Name
、Location
和NameType
。请注意,这是默认的签名密钥。 - 在
appsettings.Production.json
文件的同一部分使用ValidationKeys
参数指定第二个证书的Name
、Location
和NameType
。请确保在轮换日期之前完成此步骤。 - 在此阶段,使用
identity/.well-known/openid-configuration/jwks
端点发布第二个证书。这样可以确保每位用户都有足够的时间更新其缓存的发现文档。 - 在轮换时,切换证书并重新启动 Identity Server。现在,可以将新证书用于签名,而只要您需要,就可以继续使用之前的证书进行验证。
- 48 小时后,您可以从配置中安全地删除以前的证书。
在以下示例中,
SigningCredential
引用当前使用的证书,而 ValidationKeys
引用新发布的验证密钥。
"SigningCredentialSettings": {
"StoreLocation": {
"Name": "2816a67bc34496ca0acabbe04eb149b88ade0684",
"Location": "LocalMachine",
"NameType" : "Thumbprint",
"ValidationKeys": [
{
"Name": "2cde6c443f0147c6258a6fe2203e71a997bfcd44",
"Location": "LocalMachine",
"NameType" : "Thumbprint"
}
]
}
}
"SigningCredentialSettings": {
"StoreLocation": {
"Name": "2816a67bc34496ca0acabbe04eb149b88ade0684",
"Location": "LocalMachine",
"NameType" : "Thumbprint",
"ValidationKeys": [
{
"Name": "2cde6c443f0147c6258a6fe2203e71a997bfcd44",
"Location": "LocalMachine",
"NameType" : "Thumbprint"
}
]
}
}
重要提示:如果您使用的是 AI Center,请确保在更新 Identity Server 证书时重新部署它。
对
AppSettings.Production.json
加密的影响
轮换证书可能会影响
AppSetting.Production.json
数据的加密。
要轮换签名证书,同时确保设置加密安全,请执行以下操作:
- 解密
AppSettings.Production.json
文件。 - 更新
AppSettings.Production.json
文件中的签名证书。 - 加密
AppSettings.Production.json
文件。 - 重新启动身份服务器。