Cada proxy de servidor de federação usa um certificado de autenticação de cliente para se autenticar no Serviço de Federação. É possível usar qualquer certificado com EKU (uso estendido de chave) de autenticação de cliente que esteja vinculado a uma autoridade de certificação raiz confiável no servidor de federação como o certificado de autenticação do cliente para o proxy do servidor de federação. Além disso, você deve adicionar explicitamente o certificado de autenticação do cliente para a diretiva de confiança. Entretanto, somente o proxy de servidor de federação armazena a chave privada que está associada ao certificado de autenticação de cliente do proxy de servidor de federação. Você pode instalar um certificado de autenticação do cliente conectando-se a uma autoridade de certificação corporativa ou criando um certificado autoassinado.
 | Importante |
|
Não utilize um certificado emitido pela sua autoridade de certificação corporativa para autenticação do cliente de um usuário do Active Directory (especialmente um administrador de domínio) porque a chave privada é armazenada no proxy do servidor de federação. O armazenamento de uma chave privada no proxy do servidor de federação permite que um administrador ou invasor bem-sucedido assuma a identidade que o certificado representa. |
Para obter informações gerais sobre a instalação de certificados de autenticação do cliente ao usar os Serviços de Certificados Microsoft como sua autoridade de certificação corporativa, consulte Enviar uma solicitação de certificado de usuário avançada pela Internet a uma autoridade de certificação do Windows Server 2003 (