Bármely AD FS-mechanizmus esetén többféle tanúsítvány szükséges a biztonságos kommunikációhoz és a felhasználóktól az összevonási kiszolgálókhoz, azok proxijaihoz és az AD FS-t támogató webkiszolgálókhoz érkező hitelesítési és engedélyezési kérések kiszolgálásához.

A tanúsítványokról a Windows Server 2003 nyilvános kulcsú infrastruktúráját ismertető dokumentumában (https://go.microsoft.com/fwlink/?LinkId=19936) talál további tudnivalókat. (Előfordulhat, hogy a lap angol nyelven jelenik meg.)

Összevonási kiszolgálók által használt tanúsítványok

Minden összevonási kiszolgálónak szüksége van egy kiszolgálói hitelesítési és egy jogkivonat-aláíró tanúsítványra ahhoz, hogy részt vehessen az AD FS-kommunikációban. A megbízhatósági házirend megköveteli egy hozzárendelt tanúsítvány, az úgynevezett ellenőrző tanúsítvány meglétét, amely a jogkivonat-aláíró tanúsítvány nyilvános kulcsú része.

Kiszolgálói hitelesítési tanúsítványok

Az összevonási kiszolgáló kiszolgálói hitelesítési SSL-tanúsítványt bocsát ki a webszolgáltatások adatforgalmának biztosítására a webes ügyfelekkel vagy az összevonási kiszolgálóproxyval folytatott kommunikációhoz. Ezek a tanúsítványok az Internet Information Services (IIS) beépülő modulon keresztül kérhetők és telepíthetők.

Jogkivonat-aláíró tanúsítványok

Minden összevonási kiszolgáló jogkivonat-aláíró tanúsítvány használatával írja alá digitálisan az általa létrehozott biztonsági jogkivonatokat. Mivel a fiókpartner digitális aláírással látja el a biztonsági jogkivonatokat, az erőforráspartner ellenőrizheti, hogy a jogkivonatot valóban a fiókpartner bocsátotta-e ki, és hogy a jogkivonat nem módosult-e. Ez az eljárás segíthet megakadályozni, hogy a támadók a biztonsági jogkivonatok hamisításával vagy módosításával illetéktelenül hozzáférjenek az erőforrásokhoz.

A fiókpartner is a biztonsági jogkivonatokban lévő digitális aláírásokat használja, ha több összevonási kiszolgáló van használatban. Ilyenkor a digitális aláírások igazolják a fiókpartner más összevonási kiszolgálói által kibocsátott biztonsági jogkivonatok eredetét és épségét. A digitális aláírások ellenőrző tanúsítványokkal ellenőrizhetők.

Megjegyzés

Minden jogkivonat-aláíró tanúsítvány tartalmaz egy tanúsítványhoz hozzárendelt titkos kulcsot.

Ellenőrző tanúsítványok

Az ellenőrző tanúsítványokkal igazolható, hogy a biztonsági jogkivonatot érvényes összevonási kiszolgáló bocsátotta ki, és hogy a jogkivonat nem módosult. Az ellenőrző tanúsítványok voltaképpen más összevonási kiszolgálók jogkivonat-aláíró tanúsítványai.

Az összevonási kiszolgáló a jogkivonatot kibocsátó összevonási kiszolgálót hitelesítő ellenőrző tanúsítvánnyal győződhet meg arról, hogy a biztonsági jogkivonatot valóban az adott összevonási kiszolgáló bocsátotta ki, és hogy a jogkivonatot nem módosult. Ha például „A” összevonási kiszolgáló kibocsát egy biztonsági jogkivonatot, és azt elküldi „B” összevonási kiszolgálónak, „B” összevonási kiszolgálónak rendelkeznie kell egy „A” összevonási kiszolgálót hitelesítő ellenőrző tanúsítvánnyal (amely valójában az „A” kiszolgáló jogkivonat-aláíró tanúsítványa).

Megjegyzés

A jogkivonat-aláíró tanúsítványoktól eltérően az ellenőrző tanúsítványok nem tartalmaznak tanúsítványhoz hozzárendelt titkos kulcsot.

Összevonási kiszolgálóproxyk által használt tanúsítványok

Az Összevonás-szolgáltatási proxy szerepkör-szolgáltatást működtető kiszolgálóknak ügyfél-hitelesítési tanúsítványt és kiszolgálói hitelesítési tanúsítványt kell használniuk.

Ügyfél-hitelesítési tanúsítványok

Az összevonási kiszolgálóproxyk ügyfél-hitelesítési SSL-tanúsítvánnyal hitelesítik magukat az összevonási szolgáltatásban. Az ügyfél-hitelesítési kulcshasználat-kiterjesztéssel rendelkező tanúsítványok összevonási kiszolgálóproxyk ügyfél-hitelesítési tanúsítványaként használhatók. A tanúsítvány egy-egy példányát az összevonási kiszolgálóproxy és az összevonási kiszolgálón lévő megbízhatósági házirend tárolja. Az ügyfél-hitelesítési tanúsítvánnyal társított titkos kulcsot azonban csak az összevonási kiszolgálóproxy tárolja.

Megjegyzés

Az Active Directory összevonási szolgáltatások beépülő moduljában megjeleníthető Megbízhatósági házirend felhasználói felület összevonás-szolgáltatási proxyk tanúsítványaiként hivatkozik az ügyfél-hitelesítési tanúsítványokra.

Kiszolgálói hitelesítési tanúsítványok

Az összevonási kiszolgálóproxy kiszolgálói hitelesítési SSL-tanúsítványokkal gondoskodik a webes ügyfelekkel folytatott kommunikáció webszolgáltatási adatforgalmának biztonságáról. Ezek a tanúsítványok az IIS-kezelő beépülő modulon keresztül kérhetők és telepíthetők.

Webkiszolgálók által használt AD FS-barát tanúsítványok

Az AD FS-webügynököt futtató AD FS-t támogató webkiszolgálók SSL-alapú kiszolgálói hitelesítési tanúsítványokkal gondoskodnak a webes ügyfelekkel folytatott kommunikáció védelméről. Ezek a tanúsítványok az IIS-kezelő beépülő modulon keresztül kérhetők és telepíthetők.


Tartalom