V návrhu služby AD FS (Active Directory Federation Services) je nutné použít různé certifikáty k zabezpečení komunikace a zajištění ověření uživatelů a autorizace požadavků odesílaných na federační servery, proxy federačních serverů a webové servery s povolenou službou AD FS.
Obecné informace o certifikátech naleznete v tématu Infrastruktura veřejných klíčů pro systém Windows Server 2003 (
Certifikáty používané federačními servery
Každý federační server musí před zahájením komunikace v rámci služby AD FS vlastnit certifikát pro ověřování serveru a podpisový certifikát tokenu. Zásady důvěryhodnosti vyžadují přidružený certifikát, známý jako ověřovací certifikát, což je část podpisového certifikátu tokenu představovaná veřejným klíčem.
Certifikáty pro ověřování serveru
Federační server používá certifikáty pro ověřování serveru SSL (Secure Sockets Layer) k zajištění provozu webových služeb pro komunikaci s webovými klienty nebo proxy federačního serveru. Tyto certifikáty jsou požadovány a instalovány prostřednictvím modulu snap-in Internetová informační služba (IIS).
Podpisové certifikáty tokenu
Každý federační server používá podpisový certifikát tokenu k digitálnímu podepisování všech tokenů zabezpečení, které vytvoří. Protože je každý token zabezpečení digitálně podepsaný partnerem poskytujícím účty, může partner poskytující prostředky ověřit, že byl token zabezpečení ve skutečnosti vydán partnerem poskytujícím účty a že nebyl změněn. Pomáhá to při ochraně před tím, aby útočníci falšovali nebo upravili tokeny zabezpečení a mohli tak získat neautorizovaný přístup k prostředkům.
Partner poskytující účty používá také digitální podpisy tokenů zabezpečení, pokud existuje více než jeden federační server. V této situaci digitální podpisy ověřují původ a integritu tokenů zabezpečení, které byly vydány jinými federačními servery partnera poskytujícího účty. Digitální podpisy se ověřují pomocí certifikátů pro ověřování.
 | Poznámka |
|
Každý podpisový certifikát tokenu obsahuje privátní klíč, který je spojený s certifikátem. |
Certifikáty pro ověřování
Certifikáty pro ověřování slouží k ověření, že byl token zabezpečení vydán platným federačním serverem a že nebyl upraven. Certifikáty pro ověřování jsou ve skutečnosti podpisové certifikáty tokenu jiných federačních serverů.
Chcete-li ověřit, že byl token zabezpečení vydán určitým federačním serverem a nebyl upraven, musí mít federační server certifikát pro ověřování pro federační server, který tento token zabezpečení vydal. Pokud například federační server A vydá token zabezpečení a odešle ho federačnímu serveru B, musí mít federační server B certifikát pro ověřování (podpisový certifikát tokenu federačního serveru A) pro federační server A.
| Poznámka |
|
Narozdíl od podpisového certifikátu tokenu neobsahuje certifikát pro ověřování privátní klíč, který je spojen s certifikátem. |
Certifikáty používané proxy federačních serverů
Servery využívající službu rolí FSP (Federation Service Proxy) musí používat certifikát pro ověřování klienta a certifikát pro ověřování serveru.
Certifikáty pro ověřování klienta
Každý proxy federačního serveru používá k ověřování u služby Federation Service certifikát ověření klienta na základě protokolu SSL. Každý certifikát s použitím rozšířeného klíče ověřování klienta je možné použít jako certifikát ověřování pro klienta proxy federačního serveru. Kopie certifikátu ověřování pro klienta proxy federačního serveru je uložena na proxy federačního serveru i v zásadách důvěryhodnosti federačního serveru. Privátní klíč, který je spojený s certifikátem ověřování klienta proxy federačního serveru, je však uložen pouze na proxy federačního serveru.
| Poznámka |
|
Uživatelské rozhraní zásad důvěryhodnosti v modulu snap-in služby AD FS (Active Directory Federation Services) označuje certifikáty ověřování klienta jako certifikáty služby FSP (Federation Service Proxy). |
Certifikáty pro ověřování serveru
Proxy federačního serveru používá certifikáty pro ověřování serveru na základě protokolu SSL k zabezpečení provozu webových služeb při komunikaci s webovými klienty. Tyto certifikáty jsou požadovány a instalovány pomocí modulu snap-in Správce služby IIS (Internet Information Services).
Certifikáty používané webovými servery s povolenou službou AD FS
Každý webový server s povolenou službou AD FS, který hostuje webového agenta služby AD FS, používá certifikáty pro ověření serveru na základě protokolu SSL k bezpečné komunikaci s webovými klienty. Tyto certifikáty jsou požadovány a instalovány pomocí modulu snap-in Správce služby IIS (Internet Information Services).