Her federasyon sunucusu proxy'si, Federasyon Hizmeti'nde kimlik doğrulaması yapmak için bir istemci kimlik doğrulama sertifikası kullanır. Federasyon sunucusundaki güvenilen bir kök sertifika yetkilisine (CA) bağlı olan istemci kimlik doğrulaması genişletilmiş anahtar kullanımı (EKU) içeren herhangi bir sertifikayı federasyon sunucusu proxy'si için istemci kimlik doğrulama sertifikası olarak kullanabilirsiniz. Ayrıca, istemci kimlik doğrulama sertifikasını açıkça güven ilkesine eklemeniz de gerekir. Ancak, federasyon sunucusu proxy'si istemci kimlik doğrulaması sertifikasıyla ilişkili özel anahtarı yalnızca federasyon sunucusu proxy'si depolar. Bir istemci kimlik doğrulama sertifikasını, bir kuruluş CA'sına bağlanarak veya otomatik olarak imzalanan sertifika oluşturarak yükleyebilirsiniz.

Önemli

Özel anahtar federasyon sunucusu proxy'sinde depolandığından, bir Active Directory kullanıcısının (özellikle de etki alanı yöneticisinin) istemci kimlik doğrulaması için, kuruluş CA'nız tarafından verilen bir sertifikayı kullanmayın. Federasyon sunucusu proxy'sinde özel anahtar depolanması, bir yöneticinin veya başarılı bir saldırganın sertifikanın temsil ettiği kimliği taklit etmesine olanak sağlar.

Kuruluş CA'nız olarak Microsoft Sertifika Hizmetleri'ni kullanırken istemci kimlik doğrulama sertifikaları yükleme konusunda genel bilgiler için bkz. Web üzerinden Windows Server 2003 CA'sına gelişmiş sertifika isteği gönderme (https://go.microsoft.com/fwlink/?linkid=64020) (Bu sayfa İngilizce içeriğe sahip olabilir).


İçindekiler