In elk AD FS-ontwerp (Active Directory Federation Services) moeten diverse certificaten worden gebruikt om de communicatie te beveiligen en gebruikersverificatie en autorisatieaanvragen voor federatieservers, Federation-serverproxy's en AD FS-webservers te vergemakkelijken.

Zie de pagina over de openbare-sleutelinfrastructuur (PKI) voor Windows Server 2003 (https://go.microsoft.com/fwlink/?LinkId=19936) voor algemene informatie over certificaten. (De pagina is mogelijk Engelstalig.)

Certificaten die door Federation-servers worden gebruikt

Elke federatieserver moet een serververificatiecertificaat en een tokenhandtekeningcertificaat hebben voordat de server kan deelnemen aan AD FS-communicatie. Voor het vertrouwensbeleid is een bijbehorend certificaat (een verificatiecertificaat) vereist dat bestaat uit de openbare sleutel van het tokenhandtekeningcertificaat.

Certificaten voor serververificatie

De Federation-server gebruikt SSL-certificaten (Secure Sockets Layer) voor serververificatie om webserviceverkeer te beveiligen voor communicatie met webclients of de Federation-serverproxy. Deze certificaten worden aangevraagd en geïnstalleerd via de IIS-module (Internet Information Services).

Tokenhandtekeningcertificaten

Elke Federation-server maakt gebruik van een tokenhandtekeningcertificaat om alle beveiligingstokens die de server ontvangt, digitaal te ondertekenen. Omdat elk beveiligingstoken digitaal wordt ondertekend door de accountpartner, kan de bronpartner verifiëren of het beveiligingstoken ook daadwerkelijk door de accountpartner is uitgegeven en of het token niet is gewijzigd. Op deze manier wordt voorkomen dat aanvallers beveiligingstokens vervalsen of wijzigen om onbevoegd toegang tot bronnen te verkrijgen.

Digitale handtekeningen in beveiligingstokens worden ook gebruikt in de accountpartner wanneer er meer dan één federatieserver is. In deze situatie wordt met behulp van de digitale handtekeningen de oorsprong en de integriteit van beveiligingstokens geverifieerd die door andere federatieservers in de accountpartner zijn uitgegeven. De digitale handtekeningen worden geverifieerd aan de hand van verificatiecertificaten.

Opmerking

Elk tokenhandtekeningcertificaat bevat een persoonlijke sleutel die aan het certificaat is gekoppeld.

Verificatiecertificaten

Verificatiecertificaten worden gebruikt om te controleren of een beveiligingstoken is uitgegeven door een geldige Federation-server en of het token niet is gewijzigd. Verificatiecertificaten zijn feitelijk de tokenhandtekeningcertificaten van andere Federation-servers.

De Federation-server moet een verificatiecertificaat hebben voor de Federation-server die het beveiligingstoken heeft uitgegeven om te controleren of er een beveiligingstoken door een bepaalde Federation-server is uitgegeven en niet is gewijzigd. Als Federation-server A bijvoorbeeld een beveiligingstoken uitgeeft en het beveiligingstoken naar Federation-server B verzendt, moet Federation-server B een verificatiecertificaat hebben (het tokenhandtekeningcertificaat van Federation-server A) voor Federation-server A.

Opmerking

Een verificatiecertificaat bevat in tegenstelling tot een tokenhandtekeningcertificaat geen persoonlijke sleutel die aan het certificaat is gekoppeld.

Certificaten die door Federation-serverproxy's worden gebruikt

Op servers waarop de rolservice Federation-serviceproxy wordt uitgevoerd moeten een clientverificatiecertificaat en een serververificatiecertificaat worden gebruikt.

Certificaten voor clientverificatie

Elke Federation-serverproxy gebruikt een certificaat voor SSL-clientverificatie voor verificatie bij de Federation-service. Elk certificaat met EKU (Extended Key Usage) voor clientverificatie kan worden gebruikt als certificaat voor clientverificatie voor de Federation-serverproxy. Een kopie van het certificaat voor clientverificatie voor de Federation-serverproxy wordt opgeslagen op de Federation-serverproxy en in het vertrouwensbeleid van de Federation-server. De persoonlijke sleutel die aan het certificaat voor clientverificatie voor de Federation-serverproxy is gekoppeld, wordt echter alleen opgeslagen door de Federation-server.

Opmerking

In de gebruikersinterface van het vertrouwensbeleid in de module Active Directory Federation Services worden clientverificatiecertificaten FSP-certificaten (Federation-serviceproxy) genoemd.

Certificaten voor serververificatie

De Federation-serverproxy gebruikt certificaten voor SSL-serververificatie om het verkeer van webservices te beveiligen voor de communicatie met webclients. Deze certificaten worden aangevraagd en geïnstalleerd via de module IIS-beheer (Internet Information Services).

Certificaten die worden gebruikt door AD FS-webservers

Elke AD FS-webserver die als host fungeert voor de webagent voor AD FS, maakt gebruik van SSL-certificaten voor serververificatie om veilig met webclients te kunnen communiceren. Deze certificaten worden aangevraagd en geïnstalleerd via de module IIS-beheer (Internet Information Services).


Inhoudsopgave