Em qualquer estrutura de Serviços de Federação do Active Directory (AD FS), é necessário utilizar vários certificados para proteger as comunicações e permitir pedidos de autorização e autenticação de utilizador perante servidores de federação, proxies de servidor de federação e servidores Web preparados para AD FS.
Para informações gerais sobre certificados, consulte o artigo sobre a infra-estrutura de chaves públicas para o Windows Server 2003 (
Certificados utilizados por servidores de federação
Para poder participar em comunicações de AD FS, cada servidor de federação tem de ter um certificado de autenticação de servidor e um certificado de assinatura de tokens. A política de fidedignidade requer um certificado associado, conhecido como certificado de verificação, o qual corresponde à porção de chave pública do certificado de assinatura de tokens.
Certificados de autenticação de servidor
O servidor de federação utiliza certificados de autenticação de servidor SSL (Secure Sockets Layer) para proteger tráfego de serviços Web para comunicação com clientes Web ou com o proxy de servidor de federação. Estes certificados são solicitados e instalados através do snap-in Serviços de Informação Internet (IIS).
Certificados de assinatura de tokens
Cada servidor de federação utiliza um certificado de assinatura de tokens para assinar digitalmente todos os tokens de segurança que produz. Dado que cada token de segurança está assinado digitalmente pelo parceiro de conta, o parceiro de recursos pode verificar se o token de segurança foi na realidade emitido pelo parceiro de conta e se não foi modificado. Tal ajuda a evitar que atacantes falsifiquem ou modifiquem tokens de segurança para obter acesso não autorizado a recursos.
As assinaturas digitais em tokens de segurança são também utilizadas no parceiro de conta quando existe mais do que um servidor de federação. Nesta situação, as assinaturas digitais verificam a origem e a integridade dos tokens de segurança que são emitidos por outros servidores de federação no parceiro de conta. As assinaturas digitais são verificadas com certificados de verificação.
 | Nota |
|
Cada certificado de assinatura de tokens contém uma chave privada que está associada ao certificado. |
Certificados de verificação
Os certificados de verificação verificam se um token de segurança foi emitido por um servidor de federação válido e se não foi modificado. Na realidade, os certificados de verificação são os certificados de assinatura de tokens de outros servidores de federação.
Para verificar se um token de segurança foi emitido por um determinado servidor de federação e não foi modificado, o servidor de federação tem de ter um certificado de verificação para o servidor de federação que emitiu o token de segurança. Por exemplo, se o servidor de federação A emitir um token de segurança e enviar o token de segurança para o servidor de federação B, o servidor de federação B tem de ter um certificado de verificação (certificado de assinatura de tokens do servidor de federação A) para o servidor de federação A.
| Nota |
|
Ao contrário de um certificado de assinatura de tokens, um certificado de verificação não contém a chave privada que está associada ao certificado. |
Certificados utilizados por proxies de servidor de federação
Os servidores que estão a executar o serviço de função Proxy de Serviço de Federação têm de utilizar um certificado de autenticação de cliente e um certificado de autenticação de servidor.
Certificados de autenticação de cliente
Cada proxy de servidor de federação utiliza um certificado de autenticação de cliente SSL para autenticação perante o Serviço de Federação. Qualquer certificado com utilização alargada da chave (EKU) de autenticação de cliente pode ser utilizado como certificado de autenticação de cliente de proxy de servidor de federação. Uma cópia do certificado de autenticação de cliente de proxy de servidor de federação é armazenada no proxy de servidor de federação e na política de fidedignidade do servidor de federação. No entanto, apenas o proxy de servidor de federação armazena a chave privada que está associada ao certificado de autenticação de cliente de proxy de servidor de federação.
| Nota |
|
A interface de utilizador (IU) de Política de Fidedignidade no snap-in Serviços de Federação do Active Directory (AD FS) refere-se a certificados de autenticação de cliente como certificados de Proxy de Serviço de Federação (FSP). |
Certificados de autenticação de servidor
O proxy de servidor de federação utiliza certificados de autenticação de servidor SSL para proteger tráfego de serviços Web para comunicação com clientes Web. Estes certificados são solicitados e instalados através do snap-in Gestor de Serviços de Informação Internet (IIS).
Certificados utilizados por servidores Web preparados para AD FS
Cada servidor Web preparado para AD FS que aloje um Agente Web AD FS utiliza certificados de autenticação de servidor SSL para comunicar de forma segura com clientes Web. Estes certificados são solicitados e instalados através do snap-in Gestor de Serviços de Informação Internet (IIS).