问题描述
我们正尝试将一些旧版 Web 窗体应用迁移到 Azure 应用服务。这些 Web 窗体应用程序使用旧的 Microsoft.IdentityModel 和自定义安全令牌服务 (MVC 4) 应用程序进行身份验证。 STS 应用使用外部身份提供者并接收 SAML 2.0 工件、构建声明,然后传递给发出请求的应用。
随着迁移到 Azure 应用服务,我们自然会使用 keyvault。但是,以下面的 web.config 摘录为例:
<issuerNameRegistry type="Microsoft.IdentityModel.Tokens.ConfigurationBasedissuerNameRegistry,Microsoft.IdentityModel,Version=3.5.0.0,Culture=neutral,PublicKeyToken=31bf3856ad364e35">
<trustedissuers>
<add thumbprint="some_thumbprint" name="STSTestCert" />
</trustedissuers>
</issuerNameRegistry>
<serviceCertificate>
<certificateReference x509FindType="FindByThumbprint" findValue="some_thumbprint" storeLocation="LocalMachine" storeName="My" />
</serviceCertificate>
这显然会从服务器上的证书存储中读取。有什么办法可以让这个使用 Azure keyvault?也许以编程方式提供证书而不是配置文件?无需完全重写我们的身份验证设置,还有其他选择吗?
我一直在阅读 OWIN 启动和身份验证类,但不确定这是否能让我达到我需要的位置。
解决方法
我对证书在 Azure 应用服务中的工作方式的初步评估是错误的。无需更改我原帖中的配置,您就可以像在 IIS 上运行一样访问应用服务证书。我唯一需要做的就是将证书存储位置的位置更改为“CurrentUser”。然后,我必须运行以下 PowerShell 脚本以授予应用服务访问证书的权限:
az webapp config appsettings set --name <application_name> --resource-group <app_service_resource_group> --settings WEBSITE_LOAD_CERTIFICATES=<comma_delimited_list_of_thumbnails>
此后,应用程序能够成功访问证书。