每一個同盟伺服器 Proxy 會使用一個用戶端驗證憑證,對 Federation Service 進行驗證。您可以使用具有用戶端驗證擴充金鑰使用方法 (EKU) 的任何憑證,做為同盟伺服器 Proxy 的用戶端驗證憑證,而這些 EKU 鏈結至同盟伺服器上受信任的根憑證授權單位 (CA)。此外,您必須明確新增用戶端驗證憑證至信任原則。不過,只有同盟伺服器 Proxy 能儲存同盟伺服器 Proxy 用戶端驗證憑證關聯的私密金鑰。您可以藉由連線到企業 CA 或建立自我簽署憑證,安裝用戶端驗證憑證。
 | 重要 |
|
請勿使用企業 CA 為 Active Directory 使用者 (尤其是網域系統管理員) 的用戶端驗證發出的憑證,因為私密金鑰存放在同盟伺服器 Proxy 上。在同盟伺服器 Proxy 上存放私密金鑰,可讓系統管理員或成功的攻擊者裝成該憑證所代表的識別身分。 |
如需使用 Microsoft Certificate Services 做為企業 CA 時安裝用戶端驗證憑證的一般資訊,請參閱<透過網路提交進階憑證要求至 Windows Server 2003 CA>(