Requisiti dei certificati per i proxy server federativi
I server che vengono eseguiti nel ruolo proxy server federativo in Active Directory Federation Services (AD FS) sono necessari per usare certificati di autenticazione server Secure Sockets Layer (SSL). I proxy server federativi usano i certificati di autenticazione server per proteggere le comunicazioni tra il traffico dei server Web e i client Web.
I proxy server federativi sono in genere esposti a computer in Internet che non sono inclusi nell'infrastruttura a chiave pubblica (PKI) aziendale. Usare quindi un certificato di autenticazione server rilasciato da un'autorità di certificazione (CA) pubblica (di terze parti), ad esempio VeriSign.
Quando si dispone di una farm proxy server federativo, tutti i computer devono usare lo stesso certificato di autenticazione server. Per altre informazioni, vedere When to Create a Federation Server Proxy Farm.
È importante verificare che il nome del soggetto del certificato di autenticazione server corrisponda al valore del nome del servizio federativo specificato nello snap-in di gestione di AD FS. Per individuare questo valore, aprire lo snap-in, fare clic con il pulsante destro del mouse su Servizio, fare clic su Modifica proprietà servizio federativo e quindi individuare il valore nella casella di testo Nome servizio federativo.
Per informazioni generali sull'utilizzo dei certificati SSL, vedere Configurare Secure Sockets Layer in IIS 7.0 (http://go.microsoft.com/fwlink/?LinkID=108544) e Configurare certificati del server in IIS 7.0 (http://go.microsoft.com/fwlink/?LinkID=108545).
Nota
I certificati di autenticazione client non sono necessari per i proxy server federativo di AD FS.
Se uno di certificati usati include elenchi di revoca dei certificati (CRL), il server con il certificato configurato deve essere in grado di contattare il server che distribuisce i CRL. Il tipo di CRL determina quali porte vengono utilizzate.