ADFS에서 사용하는 인증서 이해

페더레이션 서버는 SSL(Secure Sockets Layer) 서버 인증 인증서를 사용하여 웹 클라이언트 또는 페더레이션 서버 프록시와 통신하는 웹 서비스 트래픽을 보호합니다. 이러한 인증서는 IIS(인터넷 정보 서비스) 스냅인을 통해 요청되고 설치됩니다.

각 페더레이션 서버는 토큰 서명 인증서를 사용하여 서버에서 생성한 모든 보안 토큰에 디지털 서명합니다. 각 보안 토큰은 계정 파트너에 의해 디지털 서명되기 때문에 리소스 파트너는 보안 토큰이 실제로 계정 파트너에 의해 발급되었고 수정되지 않았는지 확인할 수 있습니다. 이를 통해 공격자가 리소스에 무단으로 액세스하기 위해 보안 토큰을 변조 또는 수정하지 못하도록 합니다.

또한 보안 토큰에 대한 디지털 서명은 하나 이상의 페더레이션 서버가 있는 경우 계정 파트너 내에서 사용됩니다. 이러한 경우 디지털 서명은 계정 파트너 내에서 다른 페더레이션 서버에 의해 발급된 보안 토큰의 출처 및 무결성을 확인합니다. 디지털 서명은 확인 인증서를 통해 확인됩니다.

	참고
	각 토큰 서명 인증서에는 인증서와 연결된 개인 키가 포함되어 있습니다.

확인 인증서는 보안 토큰이 유효한 페더레이션 서버에 의해 발급되었고 수정되지 않았음을 확인합니다. 실제로 확인 인증서는 다른 페더레이션 서버의 토큰 서명 인증서입니다.

보안 토큰이 지정된 페더레이션 서버에 의해 발급되었고 수정되지 않았는지 확인하려면 페더레이션 서버가 보안 토큰을 발급한 페더레이션 서버의 확인 인증서를 가지고 있어야 합니다. 예를 들어 페더레이션 서버 A가 보안 토큰을 발급하여 페더레이션 서버 B에 보낸 경우 페더레이션 서버 B는 페더레이션 서버 A의 확인 인증서(페더레이션 서버 A의 토큰 서명 인증서)를 가지고 있어야 합니다.

	참고
	토큰 서명 인증서와 달리 확인 인증서에는 인증서와 연결된 개인 키가 없습니다.

각 페더레이션 서버 프록시는 SSL 클라이언트 인증 인증서를 사용하여 페더레이션 서비스를 인증합니다. 클라이언트 인증 EKU(확장 키 사용)가 있는 인증서를 페더레이션 서버 프록시 클라이언트 인증 인증서로 사용할 수 있습니다. 페더레이션 서버 프록시 클라이언트 인증 인증서의 복사본이 페더레이션 서버 프록시와 페더레이션 서버의 트러스트 정책에 모두 저장됩니다. 그러나 페더레이션 서버 프록시만 페더레이션 서버 프록시 클라이언트 인증 인증서와 관련된 개인 키를 저장합니다.

	참고
	ADFS(Active Directory Federation Services) 스냅인의 트러스트 정책 UI(사용자 인터페이스)는 클라이언트 인증 인증서를 FSP(페더레이션 서비스 프록시) 인증서로 참조합니다.

페더레이션 서버 프록시는 SSL 서버 인증 인증서를 사용하여 웹 클라이언트와의 통신에서 웹 서비스 트래픽을 보호합니다. 이러한 인증서는 IIS(인터넷 정보 서비스) 관리자 스냅인을 통해 요청하고 설치합니다.