Требования к сертификату для серверов федерации
В любой структуре служб федерации Active Directory (AD FS) различные сертификаты должны использоваться для защиты обмена данными и упрощения проверки подлинности пользователей между клиентами Интернета и серверами федерации. Каждый сервер федерации должен иметь сертификат служебной связи и сертификат подписи токенов, прежде чем он сможет участвовать в обмене данными с помощью AD FS. В следующей таблице описаны типы сертификатов, связанные с сервером федерации.
Тип сертификата | Описание |
---|---|
Сертификат подписывания токенов | Сертификат подписи маркера — это сертификат X509. Серверы федерации используют связанные пары открытого и закрытого ключей для цифровой подписи всех создаваемых ими маркеров безопасности. К ним относятся подписывание опубликованных метаданных федерации и запросов на разрешение доступа к артефактам. В оснастке управления AD FS можно настроить несколько сертификатов подписания токенов, чтобы обеспечить автоматическую смену сертификата, когда срок действия одного сертификата подходит к концу. По умолчанию все сертификаты в списке публикуются, но только основной сертификат для подписания токенов используется AD FS для подписания токенов. Все выбранные вами сертификаты должны иметь соответствующий закрытый ключ. Дополнительные сведения см. в статье Token-Signing Сертификаты и добавление сертификатаToken-Signing. |
Сертификат служебной связи | Серверы федерации используют сертификат проверки подлинности сервера, также известный как обмен данными службы для безопасности сообщений Windows Communication Foundation (WCF). По умолчанию используется тот же сертификат, который федеративный сервер использует в качестве SSL-сертификата в службах IIS.
Примечание: Оснастка управления AD FS называет сертификаты проверки подлинности сервера для серверов федерации как сертификаты связи службы. Дополнительные сведения см. в разделе Сертификаты связи служб и Установка сертификата связи службы. Так как сертификат связи службы должен быть доверен клиентскими компьютерами, рекомендуется использовать сертификат, подписанный доверенным центром сертификации (ЦС). Все выбранные вами сертификаты должны иметь соответствующий закрытый ключ. |
Ssl-сертификат | Серверы федерации используют SSL-сертификат для защиты трафика веб-сервисов для SSL-взаимодействия с веб-клиентами и прокси-серверами федерации. Поскольку сертификат SSL должен быть доверенным для клиентских компьютеров, мы рекомендуем использовать сертификат, подписанный надежным центром сертификации. Все выбранные вами сертификаты должны иметь соответствующий закрытый ключ. |
Сертификат расшифровки токенов | Этот сертификат используется для расшифровки токенов, полученных этим сервером федерации. У вас может быть несколько сертификатов расшифровки. Это позволяет серверу федерации ресурсов расшифровывать маркеры, выданные старым сертификатом после установки нового сертификата в качестве основного сертификата расшифровки. Все сертификаты можно использовать для расшифровки, но только первичный сертификат расшифровки токенов фактически публикуется в метаданных федерации. Все выбранные вами сертификаты должны иметь соответствующий закрытый ключ. Дополнительные сведения см. в разделе Добавлениесертификата Token-Decrypting. |
Вы можете запросить и установить SSL-сертификат или сертификат связи службы, запросить сертификат связи службы с помощью оснастки консоли управления Майкрософт (MMC) для IIS. Дополнительные сведения об использовании SSL-сертификатов см. в разделе IIS 7.0: Настройка SSL в IIS 7.0 и IIS 7.0: Настройка сертификатов сервера в IIS 7.0.
Примечание.
В AD FS можно изменить уровень безопасного хэш-алгоритма (SHA), который используется для цифровых подписей на SHA-1 или SHA-256 (более безопасный). AD FSdoes не поддерживают использование сертификатов с другими методами хэша, такими как MD5 (алгоритм хэша по умолчанию, используемый с средством командной строки Makecert.exe). Рекомендуется использовать SHA-256 (который устанавливается по умолчанию) для всех подписей. SHA-1 рекомендуется использовать только в сценариях, в которых необходимо взаимодействовать с продуктом, который не поддерживает обмен данными с помощью SHA-256, например продукта, отличного от Майкрософт, или AD FS 1. x.
Определение стратегии ЦС
AD FS не требует, чтобы сертификаты выдавались УЦ. Однако SSL-сертификат (сертификат, используемый по умолчанию в качестве сертификата связи службы), должен быть доверенным клиентами AD FS. Рекомендуется не использовать самозаверяющие сертификаты для этих типов сертификатов.
Это важно
Использование самозаверяющих SSL-сертификатов в производственной среде может позволить злоумышленнику в организации-партнёре по учётным записям получить контроль над серверами федерации в организации-партнёре по ресурсам. Этот риск безопасности существует, так как самозаверяемые сертификаты являются корневыми сертификатами. Их необходимо добавить в доверенное корневое хранилище другого сервера федерации (например, сервер федерации ресурсов), что может оставить этот сервер уязвимым для атаки.
После получения сертификата из ЦС убедитесь, что все сертификаты импортируются в личное хранилище сертификатов локального компьютера. Сертификаты можно импортировать в личное хранилище с помощью оснастки "Сертификаты MMC".
В качестве альтернативы использованию оснастки "Сертификаты", вы можете импортировать SSL-сертификат с помощью оснастки IIS Manager, когда назначаете SSL-сертификат для веб-сайта по умолчанию. Чтобы узнать больше, см. раздел "Импорт сертификата проверки подлинности сервера на веб-сайт по умолчанию".
Примечание.
Перед установкой программного обеспечения AD FS на компьютере, который станет сервером федерации, убедитесь, что оба сертификата находятся в хранилище личных сертификатов локального компьютера и что SSL-сертификат назначается веб-сайту по умолчанию. Дополнительные сведения о порядке выполнения задач, необходимых для настройки сервера федерации, см. в контрольном списке: "Настройка сервера федерации" .
В зависимости от требований к безопасности и бюджету тщательно рассмотрите, какие из ваших сертификатов будут получены общедоступным ЦС или корпоративным ЦС. На следующем рисунке показаны рекомендуемые издатели ЦС для заданного типа сертификата. Эта рекомендация отражает оптимальный подход к обеспечению безопасности и стоимости.
требования к сертификату
Списки отзыва сертификатов
Если любой используемый вами сертификат имеет списки отзыва сертификатов (CRLs), сервер с настроенным сертификатом должен иметь возможность связаться с сервером, который распространяет эти списки CRLs.