Car*_*ers 4 wcf load-balancing wif
是否想知道在使用符号和加密令牌的负载平衡环境中部署自定义WCF-安全令牌服务(STS)的最佳实践是什么?
我们正在使用Cirtix NetScaler来处理负载平衡和SSL终止(即证书仅安装在NetScaler服务器上)。已指定STS通过SigningCertificateName和EncryptionCertificateName应用设置对令牌进行签名和加密。但是,当前的Web服务器配置在其证书存储区中未安装本地证书。
所以我的问题是:
没有签名的STS没什么用:没有签名,依赖方将无法区分STS发行的有效令牌和出于恶意目的而欺骗的令牌。
您安装以支持SSL的证书通常不同于STS的签名证书。后者标识服务,而不是Web服务器。因此,请务必在负载均衡器上继续安装SSL证书。但是您将需要另一个证书(代表服务的身份),该证书(带有其私钥)安装在承载该服务的每台计算机上,以用作SigningCertificate。每个服务器上应具有相同的证书(相同的服务)。
但是,您通常不需要购买这样的证书:您可以颁发自己的证书-您只需要确保将每个潜在的依赖方配置为将证书识别为受信任的STS,并且还信任证书的根颁发者(如果是自签名证书,则可以是证书本身,如果使用证书服务器颁发证书,则可以是根证书)。
| 归档时间: |
|
| 查看次数: |
1086 次 |
| 最近记录: |