各フェデレーション サーバー プロキシでは、クライアント認証証明書を使用して、フェデレーション サービスの認証が行われます。フェデレーション サーバー上の信頼されたルート証明機関 (CA) に関連するクライアント認証用の拡張キー使用法 (EKU) を備えた証明書は、フェデレーション サーバー プロキシのクライアント認証証明書として使用できます。また、クライアント認証証明書を信頼ポリシーに明示的に追加する必要もあります。ただし、フェデレーション サーバー プロキシのクライアント認証証明書に関連する秘密キーは、フェデレーション サーバー プロキシにのみ格納されます。クライアント認証証明書をインストールするには、エンタープライズ CA に接続するか、または自己署名証明書を作成します。

重要

エンタープライズ CA によって発行された証明書を Active Directory ユーザー (特にドメイン管理者) のクライアント認証に使用しないでください。秘密キーがフェデレーション サーバー プロキシに格納されるためです。秘密キーがフェデレーション サーバー プロキシに格納された場合、管理者や侵入に成功した攻撃者は、証明書が表す ID を使用することが可能になります。

クライアント認証証明書のインストール (Microsoft 証明書サービスをエンタープライズ CA として使用する場合) に関する一般的な情報については、証明書の要求の詳細設定を Web 経由で Windows Server 2003 CA に送信するための手順を説明したページ (英語の可能性あり) (https://go.microsoft.com/fwlink/?linkid=64020) を参照してください。


目次