Requisitos de certificado para proxies do servidor de federação
Os servidores em execução na função proxy do servidor de federação nos Serviços de Federação do Ative Directory (AD FS) precisam usar certificados de autenticação de servidor SSL (Secure Sockets Layer). Os proxies do servidor de federação usam certificados de autenticação de servidor SSL para proteger a comunicação do tráfego do servidor Web com clientes Web.
Os proxies do servidor de federação geralmente são expostos a computadores na Internet que não estão incluídos na PKI (infraestrutura de chave pública) da empresa. Portanto, use um certificado de autenticação de servidor emitido por uma autoridade de certificação (CA) pública (de terceiros), por exemplo, a VeriSign.
Quando você tem um farm de proxy de servidor de federação, todos os computadores proxy de servidor de federação devem usar o mesmo certificado de autenticação de servidor. Para obter mais informações, consulte Quando criar um farm de proxy do servidor de federação.
É importante verificar se o nome do sujeito no certificado de autenticação do servidor corresponde ao valor do nome do Serviço de Federação especificado no snap-in do AD FS Management. Para localizar este valor, abra o snap-in, clique com o botão direito do rato de Serviço , clique Editar Propriedades do Serviço de Federação e, em seguida, localize o valor na caixa de texto Nome Serviço de Federação.
Para obter informações gerais sobre como usar certificados SSL, consulte Configurando Secure Sockets Layer no IIS 7.0 (http://go.microsoft.com/fwlink/?LinkID=108544) e Configurando certificados de servidor no IIS 7.0 (http://go.microsoft.com/fwlink/?LinkID=108545).
Observação
Os certificados de autenticação de cliente não são necessários para proxies de servidor de federação do AD FS.
Se qualquer certificado usado tiver listas de revogação de certificados (CRLs), o servidor com o certificado configurado deverá ser capaz de entrar em contato com o servidor que distribui as CRLs. O tipo de CRL determina quais portas são usadas.