I Windows er et certifikat (med og uden privat nøgle) blot en fil i filsystemet, og adgangen til certifikatet og den private nøgle, er derfor styret af almindelig Windows adgangskontrol.
Hvis en konto skal kunne læse den private nøgle hørende til et certifikat, er det derfor nødvendigt at give kontoen læse-rettigheder til "filen" (certifikatet med den tilhørende private nøgle). Dette er f.eks. nødvendigt når en web applikation fødererer med DMP Brugerstyring. Her er det nødvendigt, at konto applikationen kører som (f.eks. app pool account for en .Net baseret web applikation) har læse rettigheder til certifikatet og den private nøgle, der anvendes til føderationen med DMP Brugerstyring.
Dialog til at ændre rettigheder for den private nøgle hørende til et certifikat åbnes via Windows Certificate Manager på flg. måde:
1.
Åbn en ny MMC og tilføj "Certificates" snap-in f.eks. for "Local Computer" hvis det er her certifikatet er placeret.
2.
Højre-klik på certifikatet som rettigheder skal ændres for og vælg "All Tasks" > "Manage Private Keys"
3.
Herefter vises den almindelige dialog til ændring af rettigheder, og rettighederne kan tilpasses som ønsket.
Når man ser bort fra deciderede kodefejl i selve web applikationen, så er brugen og konfigureringen af certifikater den absolut største kilde til fejl i forbindelse med claims-enabling af en løsning.
Microsoft har udarbejdet en samlet guide omkring claims baserede applikationer og adgangskontrol (A Guide to Claims-Based Identity and Access Control (2nd Edition)) der indeholder et separat bilag omkring korrekt konfiguration af certifikater under Windows.
Hvis bilaget læses og følges, kan man undgå hovedparten af de problemer der ses omkring certifikater.
Bilaget findes her: Appendix D
Kommentarer
0 kommentarer
Artiklen er lukket for kommentarer.