我想知道如何将 x509 证书与 WIF 安全令牌一起使用。你能提供一个典型的场景吗?例如,我想使用证书/证书对安全令牌进行签名和加密。我怎么能那样做?我会得到什么好处?我应该以什么方式在生产环境中部署证书?
问问题
207 次
1 回答
2
问题:“我该怎么做”除了“使用 WIF API”之外没有其他简洁的答案。该 API 与 X509 证书很好地配合使用,因此加密和签名都只需要 X509Certificate2 类实例(换句话说:证书)。
另一个问题:什么是好处?好吧,令牌签名是执行协议的基本方式。如果 SAML 令牌未签名,则无法验证它是否真的来自令牌服务。另一方面,加密是可选的,如果相同的令牌可以安全地传递给不同的应用程序,那么可能不需要加密令牌。如果将不同的令牌传递给不同的应用程序(例如,用户可以在站点 A 中担任管理员角色而不在站点 B 中,并且令牌服务为 A 和 B 传递不同的令牌),则加密可防止用户滥用令牌。
最后一个问题:如何部署证书?好吧,这取决于你。由于 X509Certificate2 类很灵活,并且允许您将字节数组作为参数传递,因此有很多可能性。然后,您可以从文件、Web 服务和嵌入式资源中加载证书。然而,在实践中,最方便的方法是使用系统证书存储库之一,例如 LocalMachine 的 My 存储库。首先,您使用 mmc 管理单元将证书导入商店,然后授予某些用户(例如应用程序池)访问私钥的权限,然后您的代码只需从商店加载证书。
于 2013-08-12T14:47:15.563 回答