En cualquier diseño de Servicios de federación de Active Directory (AD FS), es necesario usar varios certificados para asegurar la comunicación y facilitar la autenticación del usuario y las solicitudes de autorización realizadas a los servidores de federación, los proxies del servidor de federación y los servidores web habilitados para AD FS.

Para obtener información general acerca de los certificados, consulte la página sobre la infraestructura de clave pública para Windows Server 2003 (https://go.microsoft.com/fwlink/?LinkId=19936) (puede estar en inglés).

Certificados utilizados por los servidores de federación

Cada servidor de federación tiene que tener un certificado de autenticación de servidor y un certificado de firma de tokens antes de poder participar en las comunicaciones con AD FS. La directiva de confianza requiere un certificado asociado, conocido como certificado de comprobación, que es la parte de la clave pública del certificado de firma de tokens.

Certificados de autenticación del servidor

El servidor de federación utiliza los certificados de autenticación del servidor de Capa de sockets seguros (SSL) para proteger el tráfico de los servicios web para la comunicación con los clientes Web o el proxy de servidor de federación. Estos certificados se solicitan e instalan mediante el complemento Internet Information Services (IIS).

Certificados de firma de tokens

Cada servidor de federación utiliza un certificado de firma de tokens para firmar digitalmente todos los tokens de seguridad que genera. Dado que cada token de seguridad está firmado digitalmente por el asociado de cuenta, el asociado de recurso puede comprobar si el token de seguridad ha sido emitido realmente por el asociado de cuenta y si no se ha modificado. Esto contribuye a evitar que los intrusos falsifiquen o modifiquen los tokens de seguridad para obtener acceso no autorizado a los recursos.

Las firmas digitales de los tokens de seguridad también se usan en el asociado de cuenta si hay más de un servidor de federación. Se trata de una situación en que, mediante las firmas digitales, se comprueba el origen y la integridad de los tokens de seguridad emitidos por otros servidores de federación del asociado de cuenta. Las firmas digitales se comprueban con certificados de verificación.

Nota

Cada certificado de firma de tokens contiene una clave privada asociada al certificado.

Certificados de verificación

Los certificados de verificación se utilizan para comprobar si un token de seguridad ha sido emitido por un servidor de federación válido y si no se ha modificado. Los certificados de verificación son en realidad los certificados de firma de tokens de otros servidores de federación.

Para comprobar si un token de seguridad ha sido emitido por un servidor de federación determinado y si no se ha modificado, el servidor de federación debe tener un certificado de verificación para el servidor de federación que ha generado el token de seguridad. Por ejemplo, si el servidor de federación A emite un token de seguridad y lo envía al servidor de federación B, el servidor de federación B debe tener un certificado de verificación (certificado de firma de tokens del servidor de federación A) para el servidor de federación A.

Nota

A diferencia del certificado de firma de tokens, el certificado de verificación no contiene la clave privada asociada al certificado.

Certificados utilizados por los proxies de servidor de federación

Los servidores en los que se ejecuta el servicio de rol Proxy de Servicio de federación tienen que usar un certificado de autenticación del cliente y un certificado de autenticación del servidor.

Certificados de autenticación del cliente

Cada proxy de servidor de federación utiliza un certificado de autenticación del cliente SSL para autenticar el Servicio de federación. Cualquier certificado con un uso mejorado de clave (EKU) de autenticación de cliente se puede utilizar como certificado de autenticación de cliente de proxy de servidor de federación. Se almacena una copia del certificado de autenticación de cliente del proxy de servidor de federación tanto en el proxy de servidor de federación como en la directiva de confianza del servidor de federación. No obstante, sólo el proxy de servidor de federación almacena la clave privada asociada al certificado de autenticación de cliente del proxy de servidor de federación.

Nota

La interfaz de usuario (UI) de la directiva de confianza del complemento Servicios de federación de Active Directory hace referencia a los certificados de autenticación del cliente como certificados del Proxy de Servicio de federación (FSP).

Certificados de autenticación de servidor

El proxy de servidor de federación utiliza certificados de autenticación de servidor SSL para proteger el tráfico de servicios web para la comunicación con los clientes web. Estos certificados se solicitan e instalan mediante el complemento Administrador de Internet Information Services (IIS).

Certificados usados por servidores web habilitados para AD FS

Cada servidor web habilitado para AD FS que hospeda un agente web de AD FS usa certificados de autenticación del servidor SSL para comunicarse de manera segura con los clientes web. Estos certificados se solicitan e instalan mediante el complemento Administrador de Internet Information Services (IIS).


Tabla de contenido