I alla AD FS-designer (Active Directory Federation Services) måste olika certifikat användas för att säkra kommunikation och underlätta begäranden om autentisering och auktorisering av användare som görs till federationsservrar, federationsserverproxy och AD FS-aktiverade webbservrar.
Mer information om certifikat finns i avsnittet om PKI (Public Key Infrastructure) för Windows Server 2003 (
Certifikat som används av federationsservrar
Varje federationsserver måste ha ett certifikat för serverautentisering och ett certifikat för tokensignering innan servern kan delta i AD FS-kommunikationer. Förtroendeprincipen kräver ett associerat certifikat, kallat verifieringscertifikat, vilket är den offentliga nyckeldelen i ett certifikat för tokensignering.
Certifikat för serverautentisering
Federationsservern använder SSL-certifikat (Secure Sockets Layer) vid serverautentisering för att säkra webbtjänsttrafik vid kommunikation med webbklienter eller federationsserverproxyn. De här certifikaten begärs och installeras genom snapin-modulen IIS (Internet Information Services).
Certifikat för tokensignering
Varje federationsserver använder ett certifikat för tokensignering för att digitalt signera alla säkerhetstoken som den skapar. Eftersom varje säkerhetstoken signeras digitalt av kontopartnern kan resurspartnern verifiera att en säkerhetstoken utfärdades av kontopartnern och att den inte har ändrats. Detta bidrar till att förhindra angripare från att förfalska eller ändra säkerhetstoken för att få obehörig åtkomst till resurser.
Digitala signaturer på säkerhetstoken används också inom kontopartnern när det finns flera federationsservrar. I det läget verifierar de digitala signaturerna ursprung och integritet för säkerhetstoken som utfärdas av andra federationsservrar inom kontopartnern. De digitala signaturerna verifieras med verifieringscertifikat.
 | OBS |
|
Varje certifikat för tokensignering innehåller en privat nyckel som är associerad med certifikatet. |
Verifieringscertifikat
Verifieringscertifikat verifierar att en säkerhetstoken har utfärdats av en giltig federationsserver och att token inte har ändrats. Verifieringscertifikat är egentligen certifikaten för tokensignering för andra federationsservrar.
Om en federationsserver ska kunna verifiera att en säkerhetstoken har utfärdats av en viss federationsserver och inte har ändrats måste federationsservern ha ett verifieringscertifikat för den federationsserver som utfärdade denna säkerhetstoken. Om till exempel federationsserver A utfärdar en säkerhetstoken och skickar denna till federationsserver B, måste federationsserver B ha ett verifieringscertifikat (federationsserver A:s certifikat för tokensignering) för federationsserver A.
| OBS |
|
Till skillnad från ett certifikat för tokensignering innehåller ett verifieringscertifikat inte den privata nyckel som är associerad med certifikatet. |
Certifikat som används av federationsserverproxy
Om du vill använda ett certifikat för klientautentisering och ett certifikat för serverautentisering krävs det servrar som kör rolltjänsten för federationstjänsts proxy.
Certifikat för klientautentisering
Alla federationsserverproxy använder ett SSL-certifikat för klientautentisering vid autentisering till federationstjänsten. Varje certifikat med klientautentiserings-EKU (Extended Key Usage) kan användas som ett certifikat för klientautentisering för federationsserverproxy. En kopia av certifikatet för klientautentisering för federationsserverproxyn lagras både på federationsserverproxyn och i förtroendeprincipen för federationsservern. Det är emellertid bara federationsserverproxyn som lagrar den privata nyckel som är associerad med certifikatet för klientautentisering för federationsserverproxyn.
| OBS |
|
Användargränssnittet för förtroendeprincipen i snapin-modulen AD FS (Active Directory Federation Services) refererar till certifikat för klientautentisering som FSP-certifikat (Federation Service Proxy). |
Certifikat för serverautentisering
Federationsserverproxyn använder SSL-certifikat vid serverautentisering för att säkra webbtjänsttrafik vid kommunikation med webbklienter. De här certifikaten begärs och installeras genom snapin-modulen IIS (Internet Information Services).
Certifikat som AD FS-aktiverade webbservrar använder
Alla AD FS-aktiverade webbservrar som är värdar för en AD FS Web Agent använder SSL-certifikat för serverautentisering för säker kommunikation med webbklienter. De här certifikaten begärs och installeras genom snapin-modulen IIS (Internet Information Services).