Freigeben über

<add> von <knownCertificates>

  • Artikel

Fügt ein X.509-Zertifikat zur Auflistung bekannter Zertifikate hinzu.

Schemahierarchie

<<system.serviceModel>>
  <behaviors>
    <serviceBehaviors>
      <behavior> von <serviceBehaviors>
        <serviceCredentials>
          <issuedTokenAuthentication> von <serviceCredentials>
            <knownCertificates>
              <add> von <knownCertificates>

Syntax

<knownCertificates> 
   <add findValue="String"
      storeLocation="CurrentUser/LocalMachine"
      storeName="AddressBook/AuthRoot/CertificateAuthority/Disallowed/My/Root/TrustedPeople/TrustedPublisher"
      x509FindType="FindByThumbprint/FindBySubjectName/FindBySubjectDistinguishedName/FindByIssuerName/FindByIssuerDistinguishedName/FindBySerialNumber/FindByTimeValid/FindByTimeNotYetValid/FindBySerialNumber/FindByTimeExpired/FindByTemplateName/FindByApplicationPolicy/FindByCertificatePolicy/FindByExtension/FindByKeyUsage/FindBySubjectKeyIdentifier"/>
</knownCertificates>

Attribute und Elemente

In den folgenden Abschnitten werden Attribute, untergeordnete Elemente sowie übergeordnete Elemente beschrieben.

Attribute

Attribut Beschreibung

findValue

Zeichenfolge. Der zu suchende Wert.

storeLocation

Enumeration. Einer der beiden zu durchsuchenden Speicherorte.

storeName

Enumeration. Einer der zu durchsuchenden Systemspeicher.

x509FindType

Enumeration. Eines der zu durchsuchenden Zertifikatfelder.

Untergeordnete Elemente

None

Übergeordnete Elemente

Element Beschreibung

<knownCertificates>

Gibt eine Auflistung von X.509-Zertifikaten wieder, die von einem Sicherheitstokendienst für die Überprüfung von Sicherheitstoken bereitgestellt werden.

Hinweise

Das Szenario für ausgestellte Token weist drei Phasen auf. In der ersten Phase wird ein Client, der versucht, auf einen Dienst zuzugreifen, an einen Sicherheitstokendienst verwiesen. Der Sicherheitstokendienst authentifiziert den Client und stellt dann ein Token (in der Regel ein SAML-Token (SAML = Security Assertions Markup Language, XML-basierte Auszeichnungssprache für Sicherheitsbestätigungen) für den Client aus. Der Client kehrt dann mit dem Token zum Dienst zurück. Der Dienst überprüft das Token auf Daten, die ihm die Authentifizierung des Tokens und somit des Clients erlauben. Damit das Token authentifiziert werden kann, muss dem Dienst das vom Sicherheitstokendienst verwendete Zertifikat bekannt sein.

Das <issuedTokenAuthentication> von <serviceCredentials>-Element ist das Repository für die Zertifikate des Sicherheitstokendiensts. Verwenden Sie zum Hinzufügen von Zertifikaten das <knownCertificates>. Fügen Sie wie im folgenden Beispiel gezeigt ein <add> von <knownCertificates> für jedes Zertifikat ein.

<issuedTokenAuthentication>
   <knownCertificates>
      <add findValue="www.contoso.com" 
           storeLocation="LocalMachine" storeName="My" 
           X509FindType="FindBySubjectName" />
    </knownCertificates>
</issuedTokenAuthentication>

Standardmäßig müssen die Zertifikate von einem Sicherheitstokendienst bezogen werden. Durch diese "bekannten" Zertifikate wird sichergestellt, dass nur berechtigte Clients auf einen Dienst zugreifen können.

Informationen zu den für die Authentifizierung eines Clients durch einen Verbunddienst erforderlichen Bedingungen sowie weitere Informationen zur Verwendung dieses Konfigurationselements finden Sie unter How to: Configure Credentials on a Federation Service. Weitere Informationen zu Verbundszenarien finden Sie unter Federation and SAML.

Beispiel

Im folgenden Beispiel wird ein Zertifikat dem Repository für beliebige STS-Zertifikate hinzugefügt.

<serviceBehaviors>
 <behavior name="myServiceBehavior">
  <serviceCredentials>
   <issuedTokenAuthentication>
    <knownCertificates>
     <add findValue="www.contoso.com" storeLocation="LocalMachine" 
           storeName="CertificateAuthority"
           x509FindType="FindByIssuerName" />
     </knownCertificates>
    </issuedTokenAuthentication>
   </serviceCredentials>
  </behavior>
 </serviceBehaviors>

Siehe auch

Verweis

<knownCertificates>
SamlSecurityTokenAuthenticator
AllowedAudienceUris
AudienceUriMode
KnownCertificates
X509CertificateTrustedIssuerElementCollection
X509CertificateTrustedIssuerElement
KnownCertificates

Weitere Ressourcen

Working with Certificates
Federation and SAML
How to: Configure Credentials on a Federation Service
Securing Services and Clients