Bei allen Active Directory-Verbunddienste-Entwürfen (Active Directory Federation Services, AD FS) müssen zahlreiche Zertifikate verwendet werden, um die Kommunikation zu sichern sowie die Benutzerauthentifizierung und Autorisierungsanforderungen zu erleichtern, die an Verbundserver, Verbundserverproxys und AD FS-fähige Webserver gesendet werden.

Allgemeine Informationen (möglicherweise in englischer Sprache) zu Zertifikaten finden Sie im Thema zur Public Key-Infrastruktur für Windows Server 2003 (https://go.microsoft.com/fwlink/?LinkId=19936).

Von Verbundservern verwendete Zertifikate

Jeder einzelne Verbundserver muss über ein Serverauthentifizierungszertifikat und ein Tokensignaturzertifikat verfügen, bevor er an der AD FS-Kommunikation teilnehmen kann. Für die Vertrauensrichtlinie ist ein zugeordnetes Zertifikat (als Validierungszertifikat bezeichnet) erforderlich, bei dem es sich um den öffentlichen Schlüssel des Tokensignaturzertifikats handelt.

Serverauthentifizierungszertifikate

Der Verbundserver verwendet SSL-Serverauthentifizierungszertifikate (Secure Sockets Layer), um den Webdienstdatenverkehr für die Kommunikation mit Webclients oder dem Verbundserverproxy zu sichern. Diese Zertifikate werden über Snap-In Internetinformationsdienste (IIS) angefordert und installiert.

Tokensignaturzertifikate

Jeder Verbundserver verwendet ein Tokensignaturzertifikat, um alle selbst erstellten Sicherheitstokens digital zu signieren. Da jedes Sicherheitstoken vom Kontopartner digital signiert wird, kann der Ressourcenpartner überprüfen und sicherstellen, dass das Sicherheitstoken wirklich vom Kontopartner ausgestellt und nicht geändert wurde. Auf diese Weise werden Angreifer daran gehindert, Sicherheitstokens zu fälschen oder zu ändern, um unberechtigten Zugriff auf Ressourcen zu erhalten.

Digitale Signaturen werden für Sicherheitstokens auch innerhalb des Kontopartnerbereichs verwendet, wenn mehr als ein Verbundserver vorhanden ist. In solch einer Situation werden durch die digitalen Signaturen der Ursprung und die Integrität der Sicherheitstokens überprüft, die von anderen Verbundservern des Kontopartners ausgestellt werden. Die digitalen Signaturen werden durch Verifizierungszertifikate überprüft.

Hinweis

Jedes Tokensignaturzertifikat enthält einen privaten Schlüssel, der dem Zertifikat zugeordnet ist.

Verifizierungszertifikate

Verifizierungszertifikate stellen sicher, dass ein Sicherheitstoken von einem gültigen Verbundserver ausgestellt und nicht geändert wurde. Bei Verifizierungszertifikaten handelt es sich tatsächlich um die Tokensignaturzertifikate von anderen Verbundservern.

Zum Überprüfen, ob ein Sicherheitstoken von einem bestimmten Verbundserver ausgestellt und nicht geändert wurde, muss der Verbundserver über ein Verifizierungszertifikat für den Verbundserver verfügen, der das Sicherheitstoken ausgestellt hat. Wenn Verbundserver A beispielsweise ein Sicherheitstoken ausstellt und es an Verbundserver B sendet, muss Verbundserver B über ein Verifizierungszertifikat (Tokensignaturzertifikat von Verbundserver A) für Verbundserver A verfügen.

Hinweis

Ein Verifizierungszertifikat enthält im Gegensatz zu einem Tokensignaturzertifikat keinen privaten Schlüssel, der dem Zertifikat zugeordnet ist.

Von Verbundserverproxys verwendete Zertifikate

Für Server, auf denen der Verbunddienstproxy-Rollendienst ausgeführt wird, muss ein Clientauthentifizierungszertifikat und ein Serverauthentifizierungszertifikat verwendet werden.

Clientauthentifizierungszertifikate

Jeder Verbundserverproxy verwendet für die Authentifizierung beim Verbunddienst ein SSL-Clientauthentifizierungszertifikat. Jedes Zertifikat mit erweiterter Schlüsselverwendung (Extended Key Usage, EKU) für die Clientauthentifizierung kann als Clientauthentifizierungszertifikat für den Verbundserverproxy verwendet werden. Eine Kopie des Clientauthentifizierungszertifikats für den Verbundserverproxy ist sowohl im Verbundserverproxy als auch in der Vertrauensrichtlinie des Verbundservers gespeichert. Der private Schlüssel, der dem Clientauthentifizierungszertifikat für den Verbundserverproxy zugeordnet ist, ist jedoch nur im Verbundserverproxy gespeichert.

Hinweis

Auf der Benutzeroberfläche der Vertrauensrichtlinie im Snap-In Active Directory-Verbunddienste werden Clientauthentifizierungszertifikate als Verbunddienstproxy-Zertifikate (Federation Service Proxy, FSP) bezeichnet.

Serverauthentifizierungszertifikate

Der Verbundserverproxy verwendet SSL-Serverauthentifizierungszertifikate, um den Webdienstdatenverkehr für die Kommunikation mit Webclients zu sichern. Diese Zertifikate werden über das Snap-In Internetinformationsdienste-Manager angefordert und installiert.

Von AD FS-fähigen Webservern verwendete Zertifikate

Jeder AD FS-fähige Webserver, der einen AD FS-Web-Agent hostet, verwendet SSL-Serverauthentifizierungszertifikate für die sichere Kommunikation mit Webclients. Diese Zertifikate werden über das Snap-In Internetinformationsdienste-Manager angefordert und installiert.


Inhaltsverzeichnis