W każdym projekcie programu Active Directory Federation Services (AD FS) różne certyfikaty są używane do zabezpieczania komunikacji i obsługi żądań uwierzytelniania użytkowników i żądań autoryzacji użytkowników wysyłanych do serwerów federacyjnych, serwerów proxy usługi federacyjnej oraz serwerów sieci Web z włączonym programem AD FS.
Aby uzyskać ogólne informacje o certyfikatach, zobacz artykuł dotyczący infrastruktury kluczy publicznych w systemie Windows Server 2003 (
Certyfikaty używane przez serwery federacyjne
Każdy serwer federacyjny musi mieć certyfikat uwierzytelniania serwera i certyfikat podpisywania tokenu, aby komunikacja z programem AD FS była możliwa. Zasady zaufania wymagają certyfikatu skojarzonego, nazywanego również certyfikatem weryfikacji, który składa się z części certyfikatu podpisywania tokenu zawierającej klucz publiczny.
Certyfikaty uwierzytelniania serwera
Serwery federacyjne używają certyfikatów uwierzytelniania serwera SSL (Secure Sockets Layer) w celu zabezpieczania ruchu generowanego przez usługi sieci Web podczas komunikowania się z klientami sieci Web lub serwerem proxy usługi federacyjnej. Żądanie i instalowanie tych certyfikatów odbywa się za pomocą przystawki Internet Information Services (IIS).
Certyfikaty podpisywania tokenu
Każdy serwer federacyjny używa certyfikatu podpisywania tokenu w celu cyfrowego podpisywania wszystkich tworzonych przez siebie tokenów. Ponieważ każdy token zabezpieczający jest podpisywany cyfrowo przez partnera kont, partner zasobów może sprawdzić, czy token zabezpieczający rzeczywiście został wystawiony przez partnera kont i czy nie został zmodyfikowany. Uniemożliwia to osobie atakującej podrabianie lub modyfikowanie tokenów zabezpieczających w celu uzyskania nieautoryzowanego dostępu do zasobów.
Podpisy cyfrowe tokenów zabezpieczających są także używane w obrębie partnera kont, gdy jest używanych kilka serwerów federacyjnych. W tej sytuacji podpisy cyfrowe służą do weryfikowania pochodzenia i integralności tokenów zabezpieczających, które zostały wystawione przez inne serwery federacyjne w obrębie partnera kont. Podpisy cyfrowe są weryfikowane za pomocą certyfikatów weryfikacji.
Uwaga | |
Każdy certyfikat podpisywania tokenu zawiera klucz prywatny skojarzony z certyfikatem. |
Certyfikaty weryfikacji
Certyfikaty weryfikacji służą do sprawdzania, czy token zabezpieczający został wystawiony przez prawidłowy serwer federacyjny i czy nie został zmodyfikowany. Certyfikaty weryfikacji są w rzeczywistości certyfikatami podpisywania tokenów innych serwerów federacyjnych.
Aby sprawdzić, czy token zabezpieczający został wystawiony przez dany serwer federacyjny i czy nie został zmodyfikowany, serwer federacyjny musi mieć certyfikat weryfikacji serwera federacyjnego, który wystawił token zabezpieczający. Jeśli na przykład serwer federacyjny A wystawi token zabezpieczający i wyśle ten token do serwera federacyjnego B, serwer federacyjny B musi mieć certyfikat weryfikacji (certyfikat podpisywania tokenu serwera federacyjnego A) dla serwera federacyjnego A.
Uwaga | |
W przeciwieństwie do certyfikatu podpisywania tokenu certyfikat weryfikacji nie zawiera klucza prywatnego skojarzonego z certyfikatem. |
Certyfikaty używane przez serwery proxy usługi federacyjnej
Serwery z usługą roli Serwer proxy usługi federacyjnej muszą używać certyfikatu uwierzytelniania klienta oraz certyfikatu uwierzytelniania serwera.
Certyfikaty uwierzytelniania klienta
Każdy serwer federacyjny proxy używa certyfikatu uwierzytelniania SSL klienta do uwierzytelniania się w usłudze federacyjnej. Jako certyfikatu uwierzytelniania klienta serwera proxy usługi federacyjnej można użyć każdego certyfikatu z polem rozszerzonego użycia klucza uwierzytelniania klienta (EKU). Kopia certyfikatu uwierzytelniania klienta serwera proxy usługi federacyjnej jest przechowywana zarówno na serwerze proxy usługi federacyjnej, jak i w zasadach zaufania serwera federacyjnego. Jednak tylko serwer proxy usługi federacyjnej przechowuje klucz prywatny skojarzony z certyfikatem uwierzytelniania klienta serwera proxy usługi federacyjnej.
Uwaga | |
Certyfikaty uwierzytelniania klienta są określane jako certyfikaty serwera proxy usługi federacyjnej w interfejsie użytkownika zasad zaufania w przystawce programu Active Directory Federation Services. |
Certyfikaty uwierzytelniania serwera
Serwer proxy usługi federacyjnej używa certyfikatów uwierzytelniania SSL serwera do zabezpieczania ruchu usług sieci Web podczas komunikacji z klientami sieci Web. Żądanie i instalowanie tych certyfikatów odbywa się za pomocą przystawki Internet Information Services (IIS).
Certyfikaty używane przez serwery sieci Web z włączonym programem AD FS
Każdy serwer z włączonym programem AD FS, na którym jest obsługiwany agent sieci Web programu AD FS, używa certyfikatów uwierzytelniania SSL serwera w celu zapewnienia bezpiecznej komunikacji z klientami sieci Web. Żądanie i instalowanie tych certyfikatów odbywa się za pomocą przystawki Internet Information Services (IIS).