Требования к сертификатам для прокси-серверов федерации
Серверы, работающие в роли прокси-сервера федерации в службы федерации Active Directory (AD FS) (AD FS), необходимы для использования сертификатов проверки подлинности сервера SSL. Прокси-серверы федерации используют SSL-сертификаты проверки подлинности сервера для защиты обмена трафиком между веб-сервером и веб-клиентами.
Прокси-серверы федерации обычно предоставляются компьютерам в Интернете, которые не включены в инфраструктуру открытых ключей (PKI) предприятия. Поэтому необходимо использовать сертификат проверки подлинности сервера, выданный общедоступным (сторонним) центром сертификации, например VeriSign.
Если у вас есть ферма прокси-серверов федерации, все компьютеры прокси-сервера федерации должны использовать один и тот же сертификат проверки подлинности сервера. Дополнительные сведения см. в разделе When to Create a Federation Server Proxy Farm.
Важно убедиться, что имя субъекта в сертификате проверки подлинности сервера соответствует значению имени службы федерации, указанному в оснастке управления AD FS. Чтобы найти это значение, откройте оснастку, щелкните компонент Служба правой кнопкой мыши, выберите пункт Изменить свойства службы федерации и найдите значение, используя текстовое поле Имя службы федерации.
Общие сведения об использовании SSL-сертификатов см. в разделе "Настройка уровня безопасных сокетов" в IIS 7.0 (http://go.microsoft.com/fwlink/?LinkID=108544) и настройка сертификатов сервера в IIS 7.0 (http://go.microsoft.com/fwlink/?LinkID=108545).
Примечание.
Сертификаты проверки подлинности клиента не требуются для прокси-серверов федерации AD FS.
Если у какого-либо используемого сертификата есть списки отзыва сертификатов (CRL), сервер с настроенным сертификатом должен иметь возможность связаться с сервером, распространяющим списки CRL. Тип CRL определяет используемые порты.
См. также
Руководство по разработке служб федерации Active Directory в Windows Server 2012