Herhangi bir Active Directory Federasyon Hizmetleri (AD FS) tasarımında, iletişimin güvenliğini sağlamak ve federasyon sunucularına, federasyon sunucusu proxy'lerine ve AD FS özellikli Web sunucularına yapılan kullanıcı kimlik doğrulama ve yetkilendirme isteklerini kolaylaştırmak için çeşitli sertifikaların kullanılması gerekir.

Sertifikalar hakkında genel bilgi için bkz. Windows Server 2003 için Ortak Anahtar Altyapısı (https://go.microsoft.com/fwlink/?LinkId=19936) (Bu sayfa İngilizce içeriğe sahip olabilir).

Federasyon sunucuları tarafından yayınlanan sertifikalar

Her federasyon sunucusunun AD FS iletişimlerine katılabilmesi için önce bir sunucu kimlik doğrulama sertifikası ve bir belirteç imzalama sertifikası olması gerekir. Güven ilkesi, belirteç imzalama sertifikasının ortak anahtar bölümü olan ve doğrulama sertifikası adı verilen ilişkili bir sertifika olmasını gerektirir.

Sunucu kimlik doğrulama sertifikaları

Federasyon sunucusu, Web istemcileri veya federasyon sunucusu proxy'si ile iletişim sırasında Web hizmetleri trafiğinin güvenliğini sağlamak üzere Güvenli Yuva Katmanı (SSL) sunucusu kimlik doğrulama sertifikalarını kullanır. Bu sertifikalar, Internet Information Services (IIS) ek bileşeni aracılığıyla istenir ve yüklenir.

Belirteç imzalama sertifikaları

Her federasyon sunucusu, ürettiği tüm güvenlik belirteçlerini dijital olarak imzalamak için bir belirteç imzalama sertifikası kullanır. Her güvenlik belirteci hesap ortağı tarafından dijital olarak imzalandığından, kaynak ortağı, güvenlik belirtecinin gerçekte hesap ortağı tarafından verildiğini ve değiştirilmediğini doğrulayabilir. Bu, saldırganların kaynaklara yetkisiz erişim kazanmak için güvenlik belirteçlerini taklit etmelerini veya değiştirmelerini engellemeye yardımcı olur.

Güvenlik belirteçlerindeki dijital imzalar, birden fazla federasyon sunucusu olması durumunda hesap ortağı içinde de kullanılır. Bu durumda dijital imzalar, hesap ortağı içindeki diğer federasyon sunucuları tarafından verilen güvenlik belirteçlerinin kaynağını ve bütünlüğünü doğrular. Dijital imzalar doğrulama sertifikalarıyla doğrulanır.

Not

Her belirteç imzalama sertifikası, sertifikayla ilişkili bir özel anahtar içerir.

Doğrulama sertifikaları

Doğrulama sertifikaları, güvenlik belirtecinin geçerli bir federasyon sunucusu tarafından verildiğini ve değiştirilmediğini doğrular. Doğrulama sertifikaları gerçekte diğer federasyon sunucularının belirteç imzalama sertifikalarıdır.

Güvenlik belirtecinin belirtilen federasyon sunucusu tarafından verildiğini ve değiştirilmediğini doğrulamak için, federasyon sunucusunun, güvenlik belirtecini vermiş olan federasyon sunucusuna yönelik bir doğrulama sertifikası olmalıdır. Örneğin, federasyon sunucusu A bir güvenlik belirteci verir ve güvenlik belirtecini federasyon sunucusu B'ye gönderirse, federasyon sunucusu B'nin federasyon sunucusu A için bir doğrulama sertifikası (federasyon sunucusu A'nın belirteç imzalama sertifikası) olması gerekir.

Not

Belirteç imzalama sertifikasının aksine, doğrulama sertifikası, sertifikayla ilişkili özel anahtar içermez.

Federasyon sunucusu proxy'leri tarafından kullanılan sertifikalar

Federasyon Hizmeti Proxy'si rol hizmetini çalıştıran sunucuların bir istemci kimlik doğrulama sertifikası ve bir de sunucu kimlik doğrulama sertifikası kullanması gerekir.

İstemci kimlik doğrulama sertifikaları

Her federasyon sunucusu proxy'si, Federasyon Hizmeti'nde kimlik doğrulaması yapmak için bir SSL istemci kimlik doğrulaması sertifikası kullanır. İstemci kimlik doğrulaması uzatılmış anahtar kullanımı (EKU) olan bir sertifika, federasyon sunucusu proxy'si istemci kimlik doğrulaması sertifikası olarak kullanılabilir. Federasyon sunucusu proxy'si istemci kimlik doğrulama sertifikası, hem federasyon sunucusu proxy'sinde hem de federasyon sunucusunun güven ilkesinde depolanır. Ancak, federasyon sunucusu proxy'si istemci kimlik doğrulaması sertifikasıyla ilişkili özel anahtarı yalnızca federasyon sunucusu proxy'si depolar.

Not

Active Directory Federasyon Hizmetleri ek bileşenindeki Güven İlkesi kullanıcı arabirimi (UI) istemci kimlik doğrulama sertifikalarını Federasyon Hizmeti Proxy'si (FSP) sertifikaları anlamında kullanır.

Sunucu kimlik doğrulama sertifikaları

Federasyon sunucusu proxy'si, Web istemcileriyle iletişim için Web hizmetleri trafiğinin güvenliğini sağlamak üzere SSL sunucu kimlik doğrulaması sertifikalarını kullanır. Bu sertifikalar, Internet Information Services (IIS) Yöneticisi ek bileşeni aracılığıyla istenir ve yüklenir.

AD FS özellikli Web sunucuları tarafından kullanılan sertifikalar

AD FS Web Aracısı barındıran her AD FS özellikli Web sunucusu, Web istemcileriyle güvenli iletişim sağlamak için SSL sunucu kimlik doğrulaması sertifikaları kullanır. Bu sertifikalar, Internet Information Services (IIS) Yöneticisi ek bileşeni aracılığıyla istenir ve yüklenir.


İçindekiler