在任何 Active Directory Federation Services (AD FS) 設計中,都必須使用各種憑證來保護通訊的安全,協助進行同盟伺服器、同盟伺服器 Proxy 以及啟用 AD FS 的網頁伺服器的使用者驗證及授權要求。
如需憑證的相關資訊,請參閱<Windows Server 2003 的公開金鑰基礎結構>(
同盟伺服器所使用的憑證
每個同盟伺服器在加入 AD FS 通訊之前,都需要擁有伺服器驗證憑證與權杖簽署憑證。信任原則需要關聯的憑證,稱為驗證憑證,它是權杖簽署憑證的公開金鑰部分。
伺服器驗證憑證
同盟伺服器可使用安全通訊端層 (SSL) 伺服器驗證憑證,保護與網頁用戶端或同盟伺服器 Proxy 有關的通訊網頁服務流量。這些憑證可透過網際網路資訊服務 (IIS) 嵌入式管理單元來要求及安裝。
權杖簽署憑證
每一部同盟伺服器會使用一個權杖簽署憑證,數位簽章其產生的所有安全性權杖。由於帳戶夥伴會數位簽章每個安全性權杖,所以資源夥伴可驗證安全性權杖確實是由帳戶夥伴發出,並且未經修改。這有助於防止攻擊者偽造或修改安全性權杖,藉此未授權地存取資源。
使用多部同盟伺服器時,也會在帳戶夥伴內使用安全性權杖的數位簽章。在這種情況下,數位簽章會驗證帳戶夥伴內的其他同盟伺服器所發出的安全性權杖之出處和完整性。會使用驗證憑證來驗證數位簽章。
附註 | |
每一個權杖簽署憑證包含憑證所關聯的一個私密金鑰。 |
驗證憑證
驗證憑證可驗證安全性權杖是否由有效的同盟伺服器發出,並且未經修改。驗證憑證實際上是其他同盟伺服器的權杖簽署憑證。
若要驗證安全性權杖是由指定的同盟伺服器發出且未經修改,同盟伺服器必須有發出安全性權杖之同盟伺服器的驗證憑證。例如,如果同盟伺服器 A 發出安全性權杖,並將安全性權杖傳給同盟伺服器 B,同盟伺服器 B 就必須有同盟伺服器 A 的驗證憑證 (同盟伺服器 A 的權杖簽署憑證)。
附註 | |
與權杖簽署憑證不同的是,驗證憑證不含憑證所關聯的私密金鑰。 |
同盟伺服器 Proxy 所使用的憑證
執行 Federation Service Proxy 角色服務的伺服器需要使用用戶端驗證憑證以及伺服器驗證憑證。
用戶端驗證憑證
每一個同盟伺服器 Proxy 會使用一個 SSL 用戶端驗證憑證,對 Federation Service 進行驗證。含用戶端驗證延伸金鑰使用方法 (EKU) 的任何憑證,都可以做為同盟伺服器 Proxy 用戶端驗證憑證。同盟伺服器 Proxy 用戶端驗證憑證的複本儲存在同盟伺服器 Proxy,和同盟伺服器的信任原則中。不過,只有同盟伺服器 Proxy 能儲存同盟伺服器 Proxy 用戶端驗證憑證關聯的私密金鑰。
附註 | |
Active Directory Federation Services 嵌入式管理單元中的信任原則使用者介面 (UI) 是指以用戶端驗證憑證做為 Federation Service Proxy (FSP) 憑證。 |
伺服器驗證憑證
同盟伺服器 Proxy 可使用 SSL 伺服器驗證憑證,來保護與網頁用戶端通訊有關的網頁服務流量。這些憑證是透過網際網路資訊服務 (IIS) 管理員嵌入式管理單元來要求與安裝的。
啟用 AD FS 的網頁伺服器所使用的憑證
每部裝載 AD FS 網路代理程式的啟用 AD FS 的網頁伺服器,都會使用 SSL 伺服器驗證憑證與網頁用戶端進行安全的通訊。這些憑證是透過網際網路資訊服務 (IIS) 管理員嵌入式管理單元來要求與安裝的。