WCF STS負載均衡和證書

Question

想知道在使用標記和加密令牌的負載平衡環境中部署自定義WCF - 安全令牌服務（STS）的最佳做法是什麼？

我們使用Cirtix NetScaler來處理負載平衡和SSL終止（即證書只安裝在NetScaler服務器上）。已經指定STS通過SigningCertificateName和EncryptionCertificateName應用程序設置對令牌進行簽名和加密。但是，當前Web服務器配置沒有在其認證存儲中安裝本地證書。

所以我的問題是： -

• 我們是否需要擔心的簽署，如果它轉移了SSL加密令牌？
• 我們應該在每臺Web服務器上安裝證書還是可以使用負載平衡器？
• 我們可以在每臺Web服務器上使用相同的證書，還是需要爲每臺Web服務器購買證書？

Answer 1

不簽名的STS沒有多大用處：沒有簽名，依賴方就不能區分STS發出的有效令牌和有惡意的人欺騙的令牌。

您安裝以支持SSL的證書通常與STS的簽名證書不同。後者識別服務，而不是Web服務器。所以，通過一切手段在負載平衡器上繼續安裝SSL證書。但是您將需要另一個證書，代表服務的身份，在每臺承載服務的計算機上安裝（使用其私鑰），以用作SigningCertificate。它應該是每個服務器上的相同證書（這是相同的服務）。

但是，您通常不需要購買這樣的證書：您可以自行發佈 - 您只需確保每個潛在的依賴方都配置爲將證書識別爲可信的STS，並且還信任證書的根頒發者（如果是自簽名證書，則爲證書本身，如果使用證書服務器頒發證書，則爲根證書）。