Ogni proxy server federativo utilizza un certificato di autenticazione client per eseguire l'autenticazione con il servizio federativo. È possibile utilizzare come certificato di autenticazione client del proxy server federativo qualsiasi certificato con utilizzo chiavi avanzato (EKU) per l'autenticazione client che sia concatenato a un'Autorità di certificazione (CA) radice attendibile nel server federativo. È inoltre necessario aggiungere in modo esplicito il certificato di autenticazione client ai criteri di attendibilità. La chiave privata associata al certificato di autenticazione client del proxy server federativo viene archiviata tuttavia solo nel proxy server federativo. È possibile installare un certificato di autenticazione client connettendosi a un'autorità di certificazione dell'organizzazione (enterprise) oppure creando un certificato autofirmato.

Importante

Non utilizzare un certificato emesso dall'autorità di certificazione dell'organizzazione (enterprise) per l'autenticazione client di un utente di Active Directory, specialmente se si tratta di un amministratore di dominio, in quanto la chiave privata viene archiviata nel proxy server federativo. L'archiviazione di una chiave privata nel proxy server federativo consente a un amministratore o all'autore di un tentativo di attacco riuscito di assumere l'identità rappresentata dal certificato.

Per informazioni generali sull'installazione dei certificati di autenticazione client quando si utilizza Servizi certificati Microsoft come autorità di certificazione dell'organizzazione (enterprise), vedere la pagina relativa all'invio di una richiesta avanzata di certificati tramite Web a una CA di Windows Server 2003 all'indirizzo https://go.microsoft.com/fwlink/?linkid=64020.


Argomenti della Guida