Cada proxy de servidor de federação utiliza um certificado de autenticação de cliente para autenticar o Serviço de Federação. É possível utilizar qualquer certificado com utilização alargada da chave (EKU) de autenticação de cliente que esteja em cadeia com uma autoridade de certificação (AC) de raiz fidedigna no servidor de federação como um certificado de autenticação de cliente para o proxy de servidor de federação. Além disso, é necessário adicionar explicitamente o certificado de autenticação de cliente à política de fidedignidade. No entanto, apenas o proxy de servidor de federação armazena a chave privada que está associada ao certificado de autenticação de cliente de proxy de servidor de federação. É possível instalar um certificado de autenticação de cliente ligando a uma AC empresarial ou criando um certificado auto-assinado.
 | Importante |
|
Não utilize um certificado que tenha sido emitido pela AC empresarial para autenticação de cliente de um utilizador do Active Directory (especialmente um administrador de domínio), pois a chave privada é armazenada no proxy de servidor de federação. Armazenar uma chave privada no proxy de servidor de federação permite que um administrador ou um atacante bem-sucedido assuma a identidade que o certificado representa. |
Para informações gerais sobre como instalar certificados de autenticação de cliente ao utilizar os Serviços de Certificados da Microsoft como AC empresarial, consulte o artigo sobre como submeter um pedido de certificado avançado via Web a uma AC do Windows Server 2003 (