Każdy serwer proxy usługi federacyjnej używa certyfikatu uwierzytelniania klienta podczas uwierzytelniania w usłudze federacyjnej. Jako certyfikatu uwierzytelniania klienta serwera proxy usługi federacyjnej można używać dowolnego certyfikatu uwierzytelniania klienta z rozszerzonym użyciem klucza (EKU), który tworzy łańcuch z zaufanym głównym urzędem certyfikacji na serwerze federacyjnym. Ponadto należy jawnie dodać certyfikat uwierzytelniania klienta do zasad zaufania. Jednak tylko serwer proxy usługi federacyjnej przechowuje klucz prywatny skojarzony z certyfikatem uwierzytelniania klienta serwera proxy usługi federacyjnej. Certyfikat uwierzytelniania klienta można zainstalować, nawiązując połączenie z urzędem certyfikacji przedsiębiorstwa lub tworząc certyfikat z podpisem własnym.

Ważne

Nie należy używać certyfikatu wystawionego przez urząd certyfikacji przedsiębiorstwa w celu uwierzytelnienia klienta dla użytkownika usługi Active Directory (zwłaszcza administratora domeny), ponieważ klucz prywatny jest przechowywany na serwerze proxy usługi federacyjnej. Przechowywanie klucza prywatnego na serwerze proxy usługi federacyjnej umożliwia administratorowi lub osobie, która przeprowadzi udany atak, użycie tożsamości reprezentowanej w certyfikacie.

Aby uzyskać ogólne informacje o instalowaniu certyfikatów uwierzytelniania klientów podczas używania Usług certyfikatów Microsoft jako urzędu certyfikacji przedsiębiorstwa, zobacz artykuł dotyczący przesyłania zaawansowanego żądania certyfikatu przez sieć Web do urzędu certyfikacji systemu Windows Server 2003 (https://go.microsoft.com/fwlink/?linkid=64020) (strona może zostać wyświetlona w języku angielskim).


Spis treści