IdentityServer4部署到服务器,配置证书问题

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了IdentityServer4部署到服务器,配置证书问题相关的知识,希望对你有一定的参考价值。

 
技术图片
 

dotnet应用用IdentityServer4做了登陆的功能,本地运行没有问题,部署到服务器上面就出现上面的问题,打开服务器的日志记录开关,获取到下面的异常信息。原来是

 
技术图片
 

通过分析日志信息,发现报错的原因是因为IdentityServer4的加密签名导致的。

IS4中如果token的类型是JWT,则需要使用RS256算法生成非对称签名,这意味着必须使用私钥来签名JWT token,并且必须使用对应的公钥来验证token签名,即验证token是否有效。使用RS256可以保证IS4服务端是JWT的唯一签名者,因为IS4服务端是唯一拥有私钥的一方,前提是私钥不会被泄露。所以我们需要一个证书为我们提供私钥和公钥。在开发环境可以利用IS4的AddDeveloperSigningCredential方法生成RSA文件,RSA文件为我们提供私钥和公钥,但是RSA文件不够安全,打开文件可以直接看到公钥和私钥,在生产环境我们一般会生成证书来提供私钥和公钥。使用OpenSSL生成证书的方式如下:

1、安装OpenSSL工具 ,官网下载地址:https://slproweb.com/products/Win32OpenSSL.html 

 

 
技术图片
 

2、在CMD中执行以下命令

openssl req -newkey rsa:2048 -nodes -keyout cas.clientservice.key -x509 -days 365 -out cas.clientservice.cer

 
技术图片
 

执行上面命令之后,我们可以在C:WINDOWSsystem32目录下面找到cas.clientservice.cer和cas.clientservice.key两个文件

下面的命令是将生成的证书和Key封装成一个文件,以便IdentityServer可以使用它们去正确地签名tokens,文件会生成在CMD执行目录下面“C:WINDOWSsystem32”

openssl pkcs12 -export -in cas.clientservice.cer -inkey cas.clientservice.key -out IS4.pfx

IS4.pfx是证书名称,可以自己修改,中途会提示让你输入Export Password,这个password在IS4中会用到,需要记下来。

 
技术图片
 

在Startup.cs中配置Ids4服务

 
技术图片
 

重新生成发布,并且把IS4.pfx证书拷贝到服务器上面。

再次运行,一切正常!




链接:https://www.jianshu.com/p/1b82f6d2644e

以上是关于IdentityServer4部署到服务器,配置证书问题的主要内容,如果未能解决你的问题,请参考以下文章

ASP.NET Core 反向代理部署知多少

在Application Insights中发现IdentityServer4错误

IdentityServer4服务器配置

IdentityServer4 结合 Mysql 之初体验

IdentityServer4 快速上手

ABP 框架 4.4.3 包 IdentityServer4 4.1.1 在部署时与 net50 不兼容