您如何将 Thinktecture IdentityServer 3 与证书设置一起使用

Question

我想使用 Thinktecture IdentityServer 3 向 ASP.NET 站点提供 STS，但我不知道如何设置证书。

如何使用 SelfHost（InMem with WS-Fed）Thinktecture Identity Server 3 作为本地 IIS 站点的 STS？

我遇到的问题如下：

我在 VS Development Server 中使用过这个客户端： https://github.com/IdentityServer/IdentityServer3.Samples/tree/master/source/Clients/MvcOwinWsFederation

使用 SelfHost（InMem with WS-Fed）： IdentityServer3.Samples/tree/master/source/SelfHost%20(InMem%20with%20WS-Fed)

一切正常、连接、验证和显示声明。

但是当我将客户端发布到名为 WSFedClient 的本地 IIS 站点并尝试针对同一个自托管 STS 进行身份验证时， 但我收到此错误：

"远程证书根据验证无效 程序。”

我遵循了这个： https://github.com/IdentityServer/IdentityServer3/issues/553

...但我仍然对我需要做什么感到困惑。

Answer 1

尝试将您的证书安装到“受信任的根证书颁发机构”存储中。

1) 启动 mmc。在开始菜单中，输入 MMC.exe 并回车。

2) 按 control-M 添加一个模块。选择证书，然后单击添加。

3) 选择计算机帐户，然后选择下一步，选择本地计算机，然后点击完成。然后点击确定。

4) 展开证书。右键单击“受信任的根证书颁发机构”，然后选择“所有任务”，然后选择“导入...”

5) 浏览到证书并选择它。您可能需要选中该框以允许将其导出，这意味着您可能必须输入密码，如果您创建了密码，您应该知道该密码。

Answer 2

检查以下有关您的证书的事项。很可能是下面的第 2 点导致此错误。

1. 检查 CA 的根证书是否存在于受信任的根证书颁发机构存储中。
2. 检查证书的“颁发给”字段是否与身份服务器端点 url 的主机名匹配。
3. 检查证书的到期日期。
4. 检查证书是否未被 CA 吊销。

Answer 3

看起来您还必须为回调 URI 配置 SSL 端点。那就是您的示例中的 WSFedClient。