在任何 Active Directory 联合身份验证服务 (AD FS) 设计中,必须使用各种证书来保护通信并便利对联合服务器、联合服务器代理和启用 AD FS 的 Web 服务器所做的用户身份验证和授权请求。

有关证书的一般信息,请参阅“Windows Server 2003 公钥基础结构”(https://go.microsoft.com/fwlink/?LinkId=19936)(可能为英文网页)。

联合服务器使用的证书

要求每个联合服务器都有一个服务器身份验证证书和一个令牌签名证书,才能参加 AD FS 通信。信任策略需要一个相关联的证书(称为验证证书),该证书是令牌签名证书的公钥部分。

服务器身份验证证书

联合服务器使用安全套接字层 (SSL) 服务器身份验证证书来保证 Web 服务通信的安全,以便与 Web 客户端或联合服务器代理进行通信。这些证书通过 Internet 信息服务 (IIS) 管理单元进行请求和安装。

令牌签名证书

每个联合服务器使用令牌签名证书为其生成的所有安全令牌进行数字签名。因为每个安全令牌由帐户伙伴进行数字签名,资源伙伴可以验证安全令牌是否确实由帐户伙伴颁发且未进行修改。这样有助于阻止攻击者通过调整或修改安全令牌来对资源进行未经授权的访问。

如果存在多个联合服务器,还会在帐户伙伴内使用安全令牌的数字签名。在这种情况下,数字签名验证帐户伙伴内其他联合服务器所颁发的安全令牌的原始性和完整性。数字签名使用验证证书进行验证。

注意

每个令牌签名证书包含与证书关联的私钥。

验证证书

验证证书用于验证安全令牌是否由有效的联合服务器颁发且未进行修改。验证证书实际上是其他联合服务器的令牌签名证书。

若要验证安全令牌是否由给定联合服务器颁发并且未进行修改,联合服务器必须拥有颁发安全令牌的联合服务器的验证证书。例如,如果联合服务器 A 颁发安全令牌并将安全令牌发送到联合服务器 B,联合服务器 B 必须拥有联合服务器 A 的验证证书(联合服务器 A 的令牌签名证书)。

注意

与令牌签名证书不同,验证证书没有与证书关联的私钥。

联合服务器代理使用的证书

需要运行联合身份验证服务代理角色服务的服务器以使用客户端身份验证证书和服务器身份验证证书。

客户端身份验证证书

每个联合服务器代理使用 SSL 客户端身份验证证书对联合身份验证服务进行身份验证。任何带客户端身份验证扩展密钥用法 (EKU) 的证书均可以作为联合服务器代理的客户端身份验证证书使用。联合服务器代理的客户端身份验证证书的副本存储在联合服务器代理上和联合服务器的信任策略中。但是,只有联合服务器代理存储与联合服务器代理的客户端身份验证证书关联的私钥。

注意

Active Directory 联合身份验证服务管理单元中的信任策略用户界面 (UI) 将客户端身份验证证书称为联合身份验证服务代理 (FSP) 证书。

服务器身份验证证书

联合服务器代理使用 SSL 服务器身份验证证书来保护 Web 服务通信的安全,以便与 Web 客户端进行通信。这些证书通过 Internet 信息服务 (IIS) 管理器管理单元进行请求和安装。

启用 AD FS 的 Web 服务器使用的证书

每台承载 AD FS Web 代理的启用 AD FS 的 Web 服务器使用 SSL 服务器身份验证证书安全地与 Web 客户端进行通信。这些证书通过 Internet 信息服务 (IIS) 管理器管理单元进行请求和安装。


目录