Cada proxy de servidor de federación usa un certificado de autenticación de cliente para autenticar el Servicio de federación. Puede usar cualquier certificado con un uso mejorado de clave (EKU) de la autenticación del cliente que se encadena a una entidad de certificación (CA) raíz de confianza del servidor de federación como un certificado de autenticación de cliente para el proxy del servidor de federación. Además, debe agregar explícitamente el certificado de autenticación de cliente a la directiva de confianza. No obstante, sólo el proxy de servidor de federación almacena la clave privada asociada al certificado de autenticación de cliente del proxy de servidor de federación. Puede instalar un certificado de autenticación de cliente conectándose a una CA o creando un certificado autofirmado.
Importante | |
No use un certificado emitido por la CA de su empresa para la autenticación de cliente de un usuario de Active Directory (especialmente un administrador de dominio), ya que la clave privada se almacena en el proxy del servidor de federación. El almacenamiento de una clave privada en el proxy del servidor de federación permite a un administrador o a un atacante que tenga éxito suplantar la identidad que representa el certificado. |
Para obtener información general acerca de la instalación de certificados de autenticación de cliente cuando se usan los Servicios de servidor de certificados de Microsoft como CA de su empresa, consulte el envío de una solicitud de certificado avanzada mediante Internet a una CA de Windows Server 2003 (