WCF STS 负载平衡和证书

Question

想知道在使用签名和加密令牌的负载平衡环境中部署自定义 WCF - 安全令牌服务 (STS) 的最佳做法是什么？

我们使用 Cirtix NetScaler 来处理负载平衡和 SSL 终止（即证书仅安装在 NetScaler 服务器上）。已指定 STS 通过 SigningCertificateName 和 EncryptionCertificateName 应用设置对令牌进行签名和加密。但是，当前的 Web 服务器配置没有在其证书存储中安装本地证书。

所以我的问题是：-

• 如果令牌通过 SSL 传输，我们是否需要担心令牌的签名和加密？
• 我们应该在每台 Web 服务器上安装证书还是可以使用负载平衡器？
• 我们可以在每个 Web 服务器上使用相同的证书，还是需要为每个 Web 服务器购买一个证书？

Answer 1

不对其令牌进行签名的 STS 没有多大用处：没有签名，任何依赖方都无法区分 STS 颁发的有效令牌和恶意欺骗的令牌。

您为支持 SSL 而安装的证书通常与 STS 的签名证书不同。后者标识的是服务，而不是 Web 服务器。因此，请务必在负载均衡器上继续安装 SSL 证书。但是您将需要另一个证书，代表服务的身份，安装在每台托管服务的机器上（使用其私钥），以用作 SigningCertificate。它应该是每台服务器上的相同证书（它是相同的服务）。

但是，您通常不需要购买这样的证书：您可以自己颁发 - 您只需确保每个潜在的依赖方都配置为将该证书识别为受信任的 STS , 并且还信任证书的根颁发者（如果它是自签名证书，则为证书本身，或者如果您使用证书服务器颁发它，则为您的根证书）。