Certificados de comunicações de serviço
Um servidor de federação requer o uso de certificados de comunicação de serviço para cenários em que a segurança de mensagens do WCF é usada.
Requisitos do certificado de comunicação de Serviço
Os certificados de comunicação de serviço devem atender aos seguintes requisitos para funcionar com o AD FS:
O certificado de comunicação de serviço deve incluir a extensão de EKU (uso avançado de chave) de autenticação do servidor.
As CRLs (listas de certificados revogados) devem estar acessíveis para todos os certificados na cadeia, do certificado de comunicação de serviço até o Certificado de Autoridade de Certificação raiz. Quaisquer proxies de servidor de federação e servidores Web que confiem nesse servidor de federação também devem confiar na CA raiz.
O nome da entidade usado no certificado de comunicação do serviço deve corresponder ao nome do Serviço de Federação nas propriedades do Serviço de Federação.
Considerações de implantação para certificados de comunicação de serviço
Configure certificados de comunicação de serviço para que todos os servidores de federação usem o mesmo certificado. Se você estiver implantando o design de SSO (Logon único) da Web Federado, recomendamos que uma autoridade de certificação pública emita seu certificado de comunicação de serviço. Você pode solicitar e instalar esses certificados por meio do snap-in Gerenciador do IIS.
Você pode usar certificados de comunicação de serviço autoassinados com êxito em servidores de federação em um ambiente de laboratório de teste. No entanto, para um ambiente de produção, é recomendável que você obtenha certificados de comunicação de serviço de uma AC pública.
Os motivos pelos quais você não deve usar certificados de comunicação de serviço autoassinados para uma implantação em tempo real incluem:
Um certificado SSL autoassinado deve ser adicionado ao repositório raiz confiável em cada um dos servidores de federação na organização parceira de recurso. Embora um certificado autoassinado sozinho não permita que um invasor comprometa um servidor de federação de recursos, confiar em certificados autoassinados aumenta a superfície de ataque de um computador. Se o signatário de certificado não for confiável, ele poderá levar a vulnerabilidades de segurança.
Um certificado de comunicação de serviço autoassinado cria uma experiência de usuário incorreta. Os clientes recebem avisos de alerta de segurança quando tentam acessar recursos federados que exibem a seguinte mensagem: "O certificado de segurança foi emitido por uma empresa em que você não confia". Esta mensagem é esperada porque o certificado autoassinado não é confiável.
Observação
Se necessário, você pode contornar essa condição usando a Política de Grupo para enviar manualmente o certificado autoassinado para o repositório raiz confiável em cada computador cliente que tentar acessar um site do AD FS.
As CAs fornecem mais recursos baseados em certificado, como arquivamento de chave privada, renovação e revogação que não são fornecidos por certificados autoassinados.