各フェデレーション サーバー プロキシでは、クライアント認証証明書を使用して、フェデレーション サービスの認証が行われます。フェデレーション サーバー上の信頼されたルート証明機関 (CA) に関連するクライアント認証用の拡張キー使用法 (EKU) を備えた証明書は、フェデレーション サーバー プロキシのクライアント認証証明書として使用できます。また、クライアント認証証明書を信頼ポリシーに明示的に追加する必要もあります。ただし、フェデレーション サーバー プロキシのクライアント認証証明書に関連する秘密キーは、フェデレーション サーバー プロキシにのみ格納されます。クライアント認証証明書をインストールするには、エンタープライズ CA に接続するか、または自己署名証明書を作成します。
重要 | |
エンタープライズ CA によって発行された証明書を Active Directory ユーザー (特にドメイン管理者) のクライアント認証に使用しないでください。秘密キーがフェデレーション サーバー プロキシに格納されるためです。秘密キーがフェデレーション サーバー プロキシに格納された場合、管理者や侵入に成功した攻撃者は、証明書が表す ID を使用することが可能になります。 |
クライアント認証証明書のインストール (Microsoft 証明書サービスをエンタープライズ CA として使用する場合) に関する一般的な情報については、証明書の要求の詳細設定を Web 経由で Windows Server 2003 CA に送信するための手順を説明したページ (英語の可能性あり) (