Certificati per le comunicazioni di servizi

• Si applica a:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Un server federativo richiede l'uso di certificati per le comunicazione dei servizi per gli scenari in cui viene usata la sicurezza dei messaggi WCF.

Requisiti dei certificati per le comunicazione dei servizi

Per l'uso con AD FS, i certificati per le comunicazione dei servizi devono rispettare i requisiti seguenti:

• Il certificato per le comunicazione dei servizi deve includere l'estensione EKU (Enhanced Key Usage) per l'autenticazione server.

• Gli elenchi di revoche di certificati (CRL) devono essere accessibili per tutti i certificati nella catena dal certificati per le comunicazione dei servizi al certificato dell'autorità di certificazione radice. Tutti i proxy server federativi e i server Web che considerano attendibile questo server federativo devono considerare attendibile anche l'autorità di certificazione radice.

• Il nome del soggetto usato nel certificato di comunicazione del servizio deve corrispondere al nome del servizio federativo nelle proprietà del servizio federativo.

Considerazioni sulla distribuzione per i certificati per le comunicazione dei servizi

Configurare i certificati per le comunicazione dei servizi in modo che tutti i server federativi usino lo stesso certificato. Se si distribuisce la progettazione dell'accesso Single Sign-On (SSO) Web federato, è consigliabile che un'autorità di certificazione pubblica rilasci il certificato di comunicazione del servizio. È possibile richiedere e installare questi certificati tramite lo snap-in Gestione IIS.

È possibile usare certificati per le comunicazione dei servizi autofirmati nei server federativi in un ambiente lab di test. Tuttavia, per un ambiente di produzione, è consigliabile ottenere certificati per le comunicazione dei servizi da un'autorità di certificazione pubblica.

I motivi per cui non è consigliabile usare certificati per le comunicazione dei servizi autofirmati per una distribuzione live includono:

• Un certificato SSL autofirmato deve essere aggiunto all'archivio radice attendibile in ognuno dei server federativi dell'organizzazione partner risorse. Anche se un certificato autofirmato da solo non consente a un utente malintenzionato di compromettere un server federativo delle risorse, ritenere attendibili i certificati autofirmati aumenta la superficie di attacco di un computer. Se il firmatario del certificato non è attendibile, ciò può causare vulnerabilità di sicurezza.

• Un certificato per le comunicazione dei servizi autofirmato crea un'esperienza utente non ottimale. I client ricevono richieste di avviso di sicurezza quando provano ad accedere alle risorse federate che visualizzano il messaggio seguente: "Il certificato di sicurezza è stato emesso da una società che non si è scelto di considerare attendibile". Questo messaggio è previsto, perché il certificato autofirmato non è attendibile.

  Nota

  Se necessario, è possibile risolvere questa condizione usando Criteri di gruppo per eseguire manualmente il push del certificato autofirmato nell'archivio radice attendibile in ogni computer client che prova ad accedere a un sito di AD FS.

• Le autorità di certificazione offrono altre funzionalità basate su certificati, ad esempio l'archivio delle chiavi private, il rinnovo e la revoca, che non vengono fornite da certificati autofirmati.