每个联合服务器代理使用客户端身份验证证书对联合身份验证服务进行身份验证。任何链接到联合服务器上的受信任根证书颁发机构 (CA) 的、具有客户端身份验证扩展密钥用法 (EKU) 的证书均可以作为联合服务器代理的客户端身份验证证书使用。此外,您必须明确将客户端身份验证证书添加到信任策略。但是,只有联合服务器代理存储与联合服务器代理的客户端身份验证证书关联的私钥。可以通过连接到企业 CA 或通过创建自签名证书安装客户端身份验证证书。

重要

请勿使用 Active Directory 用户(尤其是域管理员)的客户端身份验证的企业 CA 颁发的证书,因为私钥存储在联合服务器代理上。将私钥存储在联合服务器代理上使管理员或成功的攻击者可以取得证书代表的标识。

有关将 Microsoft 证书服务用作企业 CA 时安装客户端身份验证证书的一般信息,请参阅“通过 Web 向 Windows Server 2003 CA 提交高级证书申请”(https://go.microsoft.com/fwlink/?linkid=64020)(可能为英文网页)。


目录