当 Unified Access Gateway 要为 SaaS 环境(如 Horizon Cloud Service)创建和签署 JWT 以交换控制信息时,您可以配置 JSON Web 令牌 (JWT) 生成者设置。
以下过程介绍了 JSON Web 令牌生成者设置配置:
过程
- 在管理 UI 的“手动配置”部分中,单击选择。
- 在“高级设置”下,选择“JWT 设置”齿轮箱图标。
- 在“JWT 设置”窗口中,单击添加 JWT 生成者。
- 在“JWT 生成者设置”窗口中,输入以下信息:
选项 默认值和描述 名称 用于标识此设置以进行验证的 JWT 生成者名称。 颁发者 输入在生成的要发送给接收者的 JWT 颁发者声明中指定的 JWT 颁发者值(区分大小写)。 默认情况下,此字段的值设置为名称字段。
JWT 签名证书类型 从下拉菜单中选择用于 JWT 签名的有效证书类型。选项包括:
- PEM:
- 私钥:单击选择,然后浏览到 PEM 格式的证书私钥文件。
- 证书链:单击选择,然后浏览到 PEM 格式的证书链文件。
- PFX:
- 上载 PFX:单击选择,然后浏览到 PFX 格式的 JWT 签名证书。
- 密码:输入 PFX 证书的密码。
- 别名:如果证书存储中存在多个证书,则输入 PFX 证书的别名。
JWT 签名私钥
单击选择,然后浏览到用于 JWT 签名的 PEM 格式的证书私钥。 JWT 签名证书链
单击选择,然后浏览到用于 JWT 签名的 PEM 格式的证书链。 配置加密公钥设置 加密密钥(静态或动态)用于对 Unified Access Gateway 生成的 JWT 进行加密。
打开此切换开关可配置用于从 URL 动态获取公钥的加密公钥 URL。关闭此切换开关可上载静态加密公钥。
动态公钥 URL 输入用于动态获取公钥的 URL。
公钥可以采用单个公钥或 JSON Web 密钥集 (JSON Web Key Set, JWKS) 格式。如果采用 JWKS 格式,则可以获取多个 JSON Web 密钥 (JSON Web Key, JWK) 格式的公钥,以用于验证 JWT。
每个 JWK 都有一个唯一标识符 (kid),此标识符位于提供给 Unified Access Gateway 的 JWT 中。使用此标识符,Unified Access Gateway 可识别要使用的公钥。
公钥 URL 指纹 输入公钥 URL 指纹的列表。如果未提供指纹列表,请确保受信任的 CA 颁发了服务器证书。输入十六进制指纹数字。例如,sha1= C2 88 A3 19 DC 7A 47 2C 84 1C 81 EC 5E 8F 6A 3C 33 F2 95 C5。 受信任证书 - 单击 + 可选择 PEM 格式的证书并将其添加到信任存储中。
- 单击 - 可从信任存储中移除证书。
- 要提供其他名称,请编辑别名文本框。
默认情况下,别名是 PEM 证书的文件名。您最多可以添加 64 个受信任的证书文件。
公钥刷新时间间隔 从 URL 定期获取公钥的时间间隔(以秒为单位)。
默认值为 3600(1 小时)。
如果将此选项设置为 0,则将只从 URL 获取公钥一次。
静态公钥 单击 + 可选择并添加要用于 JWT 加密的公钥。 此文件必须采用 PEM 格式。
注: 如果动态公钥 URL 不可用,请设置静态公钥。 - PEM:
- 单击保存。