在SharePoint 2010中使用WCF STS引导令牌(thinktecture server as sts和ActAs)

Question

在使用自定义STS时，是否有人在SharePoint 2010中使用过引导令牌。我已经为此挣扎了几个小时了。每当我发出RST时，我都会收到以下错误消息：

ID4257: X.509 certificate 'CN=SharePoint Security Token Service, OU=SharePoint, O=Microsoft, C=US' validation failed by the token handler. 

我正在使用带有Thinktecture身份服务器的WCF2010作为我的STS，并尝试调用一个带委托的SharePoint服务。我把所有这些都做得很好，但是我就是不能使用bootstrap令牌来让委派工作。

我猜SharePoint一定是在以某种方式加密引导令牌？！有什么帮助或建议吗？

Answer 1

您仍然可以使用自己的加密证书而不是Sharepoint STS来解决此问题。

当SecurityTokenHandler尝试验证引导令牌并发现令牌中的证书无效(默认X509CertificateValidator)时，会引发此异常。

将出现在引导令牌中的证书将是SharePoint安全令牌服务

解决问题的两种方法: AFAIK

1. 将"SharePoint安全令牌服务“证书的公共部分复制到STS计算机中的证书:本地计算机\可信任人员。您还可以编写自己的证书验证器。

对于生产机器来说，

1. 不是一个好的解决方案。在web.config

中将certificateValidationMode=设置为“None”

http://msdn.microsoft.com/en-us/library/hh598384%28v=vs.110%29.aspx

Answer 2

通过将SharePoint sts证书作为加密证书添加到STS，部分解决了此问题。此外，使用SPSecurityContext.SecurityTokenForContext似乎有助于获得ActAs token 0，但我不是100%确信我已经让它都工作了！