2. 程式人生 > >探究數字證書 公鑰 私鑰在IdentityServer4中和ADFS+Sharepoint中的使用

探究數字證書 公鑰 私鑰在IdentityServer4中和ADFS+Sharepoint中的使用

阿新 發佈:2018-11-30 
#Linux系統生成證書:(推薦使用)
sudo yum install openssl (CentOS)

#生成私鑰檔案
openssl genrsa -out idsrv4.key 2048


#建立證書籤名請求檔案 CSR(Certificate Signing Request),用於提交給證書頒發機構(即 Certification Authority (CA))即對證書籤名,申請一個數字證書。
openssl req -new -key idsrv4.key -out idsrv4.csr 

#生成自簽名證書(證書頒發機構(CA)簽名後的證書,因為自己做測試那麼證書的申請機構和頒發機構都是自己,crt 證書包含持有人的資訊,持有人的公鑰,以及簽署者的簽名等資訊。當用戶安裝了證書之後,便意味著信任了這份證書,同時擁有了其中的公鑰。)
openssl x509 -req -days 365 -in idsrv4.csr -signkey idsrv4.key -out idsrv4.crt (包含公鑰)

#自簽名證書與私匙合併成一個檔案(注:.pfx中可以加密碼保護,所以相對安全些)
openssl pkcs12 -export -in idsrv4.crt -inkey idsrv4.key -out idsrv4.pfx (注:在生成的過程中會讓我們輸入Export Password)

或者

openssl req -newkey rsa:2048 -nodes -keyout idsrv4.key -x509 -days 365 -out idsrv4.cer
openssl pkcs12 -export -in idsrv4.cer -inkey idsrv4.key -out idsrv4.pfx

都可以生成證書

只有pfx格式的數字證書是包含有私鑰的,cer格式的數字證書裡面只有公鑰沒有私鑰。

所以在IdentityServer4中

 services.AddIdentityServer()
            //.AddDeveloperSigningCredential()
            .AddSigningCredential(new X509Certificate2(Path.Combine(basePath,
                Configuration["Certificates:CerPath"]),
                Configuration["Certificates:Password"]))

這裡的證書是pfx的證書,so 通過私鑰來簽名,在訪問API的時候 ,通過這個證書來獲取公鑰進行驗籤。

而在SharePoint ADFS中

可以看到

裡面的令牌簽名是cer的 ,cer意味著只有公鑰,上面還有個令牌解密,應該是私鑰,然後把這個公鑰頒給了SharePoint

在SharePoint 伺服器上,以管理員身份啟動SharePoint 命令列管理程式:

 

序號

命令說明

執行命令

1

    

設定ADFS簽名證書變數,此處Tokensign.cer證書是從ADFS伺服器上匯出的令牌簽名證書

$cert = New-Object   System.Security.Cryptography.x509Certificates.x509Certificate2 (“\\ad-test\Software\Tool\Tokensign.cer")     

2

    

將令牌簽名證書匯入到SharePoint的信任區

New-SPTrustedRootAuthority -Name "Token Signing Cert"   -Certificate $cert

3

設定UPN宣告變數

 

$upnClaimMap = New-SPClaimTypeMapping   -IncomingClaimType    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"  -IncomingClaimTypeDisplayName   "UPN" -SameAsIncoming

 

 

設定通用名宣告變數

 

$cnNameMap = New-SPClaimTypeMapping -IncomingClaimType    "http://schemas.xmlsoap.org/claims/CommonName"  -IncomingClaimTypeDisplayName "Display   Name" –SameAsIncoming

 

4

設定“realm”宣告變數,此處一定要與ADFS信賴方信任配置的“信賴方識別符號”一致,包括大小寫

 

$realm =  “urn:Dev2:SP2013”

 

5

設定登入URL變數,此處為ADFS登入的頁URL

$signInURL = “https://adfs.****.com/adfs/ls

6

 

$ap = New-SPTrustedIdentityTokenIssuer -Name "ADFS Web SSO for   SharePoint" -description “ADFS Web SSO for SharePoint"  -realm $realm  -ImportTrustCertificate $cert  -ClaimsMappings $upnClaimMap, $cnNameMap   -SignInURL $signInURL -IdentifierClaim $upnClaimMap.InputClaimType

 

7

    

Get-SPTrustedIdentityTokenIssuer

其實原理都是一樣的,一個ADFS將token 用私鑰簽名 ,sharepoint 中的公鑰驗籤。

相關推薦

探究數字證書 IdentityServer4中和ADFS+Sharepoint的使用

#Linux系統生成證書:(推薦使用) sudo yum install openssl (CentOS) #生成私鑰檔案 openssl genrsa -out idsrv4.key 2048 #建立證書籤名請求檔案 CSR(Certificate Signing Request),用於

數字證書原理,加密原理

文中首先解釋了加密解密的一些基礎知識和概念,然後通過一個加密通訊過程的例子說明了加密演算法的作用,以及數字證書的出現所起的作用。接著對數字證書做一個詳細的解釋,並討論一下windows中數字證書的管理,最後演示使用makecert生成數字證書。如果發現文中有錯誤的地方,或

蘋果證書加密

調試 git 開發證書 真機 sign 密鑰 csdn ios開發證書 spa 今天看了點關於公私鑰加密的內容,趕快記下省的忘記了。 這裏有幾個概念:公鑰,私鑰,加密,認證,認證中心(CA),數字證書。 公鑰和私鑰是屬於非對稱性加密,公鑰和私鑰是完全不同的,但是相互對應的。

mac自帶的openssl 生成(包括java,iOS端各平臺支援的證書轉換)

1.使用終端進入到制定目錄下 2.執行命令:openssl 3.生成一個1024位的私鑰:genrsa -out rsa_private_key.pem 1024 4.利用私鑰生成JAVA支援的PKC

加密和解密,(數字)簽名和驗證,

網路安全中最知名的人物大概就是Bob和Alice了,因為很多安全原理闡述中都用這兩個虛擬人物來進行例項說明。 我們來看看Bob是怎麼從CA中心獲得一個數字證書的: 1、Bob首先建立他自己的金鑰對(key pair),包含公鑰和私鑰; 2、Bob通過網路把他的公鑰送到CA中心,公鑰中包含了Bob的個人鑑別

P12證書導出

crt p12 pem 使用openssl把PKCS12文件(my.p12)轉換成我們需要的pem文件(my.pem) openssl pkcs12 -in my.p12 -out my.pem -passin pass:mypass -passout pass:mypass分離my.pem文件,

object 加密 generator graph args sys exc rate inpu import sun.misc.BASE64Decoder;import sun.misc.BASE64Encoder; import java.io.FileInputStr

加密 解密

get 加密 word bsp AR 密碼 https 私鑰 密碼學 密碼學掃盲:加密、認證、公鑰、私鑰 哪個用來加密哪個用來解密?加密 解密 公鑰 私鑰

Windows下生成 以及 配置 Filezilla的 SFTP的

href gpo .html 公鑰私鑰 www. googl ssh -s HA Win下需要使用到 PuTTYgen.exe來生成公鑰私鑰,可以參考youtube的這篇文章: 為 SFTP 保管箱生成 Secure Shell (SSH) 密鑰對 PuTTYgen.

實現利用免密碼登錄Linux服務器

ssh-key author linux服務器 oot dir 密鑰 公鑰私鑰 私鑰 keygen 原理 客戶端生成公鑰私鑰,把公鑰拷貝給linux服務器,用自己的私鑰連接服務器。實現如下: 如果是兩臺Linux服用器A和B,A來實現免密碼登錄B A執行ssh-key

的原理

問題解答: 第一公鑰私鑰:兩者對應  私鑰可以找到對應公鑰  公鑰是交給其他伺服器使用用來動態加鹽的. 第二私鑰可以得到公鑰,因為同一系統的動態加鹽的演算法是相同的所以得到公鑰就意味著可以逆 序根據被加密的可以得到加密前的東西.因為兩者是提前約定好的(也就是公鑰好比使用者名稱私鑰

git 多套的配置以及使用

git 多套公、私鑰的配置以及使用 git 多套公私鑰的配置以及使用 業務使用場景 步驟 檢查是否已存在相應的ssh key 生成新的ssh key並新增至ss

ssh認證原理

ssh公鑰認證的原理 所謂的公鑰認證,實際上是使用一對加密字串,一個稱為公鑰(public key),任何人都可以看到其內容,用於加密;另一個稱為私鑰(private key),只有擁有者才能看到,用於解密。通過公鑰加密過的密文使用私鑰可以輕鬆解密,但根據公鑰來猜測私鑰卻十分困難。 ss

支付寶支付接入(安全基礎 - 生成

分享一下我老師大神的人工智慧教程!零基礎,通俗易懂!http://blog.csdn.net/jiangjunshow 也歡迎大家轉載本篇文章。分享知識,造福人民,實現我們中華民族偉大復興!        

PHP 格式化(pem檔案)

<?php header("Content-Type: text/html; charset=utf-8"); $filename = dirname(__FILE__)."/payPublicKey.pem";//生成的公鑰或私鑰檔案 @chmod($filename, 0

java RSA 生成

/** * 引進的包都是Java自帶的jar包 * 祕鑰相關包 * base64 編解碼 * 這裡只用到了編碼 */ import java.security.Key; import java.security.KeyPair; import java.security.KeyPair

非對稱加密演算法RSA的模數和指數提取方法

生成非對稱加密演算法RSA公鑰、私鑰的方法: 1. 通過OpenSSL庫生成,可參考  https://github.com/fengbingchun/OpenSSL_Test/blob/master/demo/OpenSSL_Test/funset.cpp  中的Gen

八、//Public Key Hash/P2PKH

在前面第2課,我們粗略引入了比特幣網路中賬號的概念。在此課,我將對賬號相關的幾個概念,做更深入的闡釋,這部分也是整個區塊鏈技術的基礎。 一、公/私鑰 公/私鑰的基本思路是

AI學習吧-、沙箱環境

公鑰私鑰 公鑰、私鑰 可以互相解密 應用:數字簽名和加密資料 數字簽名:使用私鑰加密,公鑰解密 加密資料:使用公鑰加密,私鑰解密洩密時:當有人拿走了你的公鑰,你可以到CI證書中心,使用你的私鑰和公鑰辦理認證證書,以後可以在你的資料里加上這個證書,別人拿到了你的資料,使用正式中心的公鑰解密,拿到

ssh 認證原理

通常,通過ssh登入遠端伺服器時,使用密碼認證,分別輸入使用者名稱和密碼,兩者滿足一定規則就可以登入。但是密碼認證有以下的缺點: 使用者無法設定空密碼(即使系統允許空密碼,也會十分危險) 密碼容易被人偷窺或猜到 伺服器上的一個帳戶若要給多人使用,則必須讓所有使用者都知道密碼,導致