5

你好,

在我的 ASP.NET Core 应用程序中,我使用 OpenIdConnectServer 进行 Api 身份验证。一切正常。

但是有一件事我无法解决 - 如何设置自定义文件夹以保留令牌签名密钥?

在服务配置中,我有:

services.AddDataProtection()
        .PersistKeysToFileSystem(new DirectoryInfo(@"keys/"));

首次运行后,会在此处创建应用程序密钥。但是 OpenIdServer 以某种方式自行管理密钥。

app.UseOpenIdConnectServer(options => {
    ...
    options.DataProtectionProvider = app.ApplicationServices.GetDataProtectionProvider();
    ...
});

尽管如此,凭证签名密钥是在默认位置创建的:

 A new RSA key ... persisted on the disk: /home/.../.aspnet/aspnet-contrib/oidc-server/<some guid>.key.

这是错误还是功能?如何强制服务器将密钥也存储在keys/文件夹中?

摘要 - 为什么我这样做

我的想法是从这n 个docker 图像构建一个 API ,将其隐藏在负载均衡器后面并在云中的某个地方运行。问题是 - 当 docker 中的每个实例创建它自己的应用程序和签名密钥时,加密的身份验证令牌将不适用于任何其他实例,除了已创建并使用其密钥签署令牌的实例。因此,我试图将相同的密钥分发给每个运行的 docker 映像。如果可能,到预定义的应用程序文件夹。

或者有没有更好的方法或最佳实践?

提前谢谢你。

4

1 回答 1

5

嗯,我想通了。

首先,我们必须生成一个 x509 证书(带有私钥),如此处所述

openssl genrsa -out private.key 1024
openssl req -new -x509 -key private.key -out publickey.cer -days 365
openssl pkcs12 -export -out certificate.pfx -inkey private.key -in publickey.cer

key/certificate.pfx在这种情况下,将其复制到您喜欢的文件夹中。

然后,轻轻地将您的新证书插入 OpenIdConnectServer:

应用设置.json

"Keys": {
    "CertificatePath": "keys/certificate.pfx",
    "CertificatePassword": "<password you provider>"
}

启动.cs

private X509Certificate2 CreateOauthCertificate(){
        var path = Configuration["Keys:CertificatePath"];
        var password = Configuration["Keys:CertificatePassword"];
        return new X509Certificate2(path, password);
    }

Starup.cs - 配置

app.UseOpenIdConnectServer(
    ...
    options.SigningCredentials.AddCertificate(CreateOauthCertificate());
    ...
});

现在我很好奇是否有更好的方法。

但这有效。

问候

于 2016-10-08T23:56:40.930 回答