Certificados de comunicaciones de servicios

• Se aplica a:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Un servidor de federación requiere el uso de certificados de comunicación de servicio para escenarios en los que se usa la seguridad de los mensajes de WCF.

Requisitos de los certificados de comunicación de servicio

Los certificados de comunicación de servicio deben cumplir los siguientes requisitos para funcionar con AD FS:

• El certificado de comunicación de servicio debe incluir la extensión de uso mejorado de clave (EKU) de la autenticación del servidor.

• Las listas de revocación de certificados (CRL) deben ser accesibles para todos los certificados de la cadena, desde el certificado de comunicación de servicio al certificado de entidad de certificación (CA) raíz. La CA raíz también debe ser de confianza para cualquier servidor proxy de federación y los servidores web que confíen en este servidor de federación.

• El nombre del firmante que se usa en el certificado de comunicación de servicio debe coincidir con el nombre del servicio de federación en las propiedades del servicio de federación.

Consideraciones de implementación para certificados de comunicación de servicio

Configure certificados de comunicación de servicio para que todos los servidores de federación usen el mismo certificado. Si va a implementar el diseño de inicio de sesión único (SSO) web federado, se recomienda que una CA pública emita el certificado de comunicación de servicio. Puede solicitar e instalar estos certificados mediante el complemento Administrador de IIS.

Puede usar certificados autofirmados de comunicación de servicios correctamente en servidores de federación en un entorno de laboratorio de pruebas. Sin embargo, para un entorno de producción, se recomienda obtener certificados de comunicación de servicio de una CA pública.

Entre los motivos por los que no debe usar certificados de comunicación de servicio autofirmados para una implementación activa se incluyen los siguientes:

• Se debe agregar un certificado SSL autofirmado al almacén raíz de confianza en cada uno de los servidores de federación de la organización del asociado de recursos. Aunque un certificado autofirmado por sí solo no permite a un atacante poner en peligro un servidor de federación de recursos, confiar en los certificados autofirmados sí aumenta la superficie expuesta a ataques de un equipo. Si el firmante de certificados no es de confianza, puede provocar vulnerabilidades de seguridad.

• Un certificado de comunicación de servicio autofirmado crea una pobre experiencia de usuario. Los clientes reciben avisos de alerta de seguridad cuando intentan acceder a los recursos federados con el siguiente mensaje: "El certificado de seguridad fue emitido por una organización que no es de confianza". Este mensaje es el esperable, ya que el certificado autofirmado no es de confianza.

  Nota

  Si es necesario, puede solucionar esta condición mediante una directiva de grupo para insertar manualmente el certificado autofirmado en el almacén raíz de confianza en cada equipo cliente que intente acceder a un sitio de AD FS.

• Las entidades de certificación proporcionan características adicionales basadas en certificados, como el archivo, la renovación y la revocación de claves privadas, características que no proporcionan los certificados autofirmados.