联合服务器的证书要求
在任何 Active Directory 联合身份验证服务 (AD FS) 设计中,都必须使用各种证书来保护通信并为 Internet 客户端与联合服务器之间的用户身份验证提供便利。 每台联合服务器必须具有服务通信证书和令牌签名证书,然后才能参与 AD FS 通信。 下表描述了与联合服务器关联的证书类型。
| 证书类型 | 说明 |
|---|---|
| 令牌签名证书 | 令牌签名证书是一个 X509 证书。 联合服务器使用关联的公钥/私钥对,对它们产生的所有安全令牌进行数字签名。 这包括已发布的联合元数据和项目分辨率请求的签名。 你可以在“AD FS 管理”管理单元中配置多个令牌签名证书,以允许在一个证书即将过期时进行证书滚动更新。 默认情况下,该列表中的所有证书都已发布,但只有主令牌签名证书由 AD FS 用来对令牌进行实际签名。 你选择的所有证书都必须具有相应的私钥。 有关详细信息,请参阅 Token-Signing Certificates 和 Add a Token-Signing Certificate。 |
| 服务通信证书 | 联合服务器使用服务器身份验证证书,也称为 Windows Communication Foundation (WCF) 消息安全性的服务通信。 默认情况下,这是联合服务器在 Internet Information Services (IIS) 中用作安全套接字层 (SSL) 证书的同一证书。 注意:“AD FS 管理”管理单元是指用作服务通信证书的联合服务器的服务器身份验证证书。 由于服务通信证书必须受客户端计算机信任,因此我们建议你使用由受信任的证书颁发机构 (CA) 签名的证书。 你选择的所有证书都必须具有相应的私钥。 |
| 安全套接字层 (SSL) 证书 | 联合服务器使用 SSL 证书来保护与 Web 客户端以及与联合服务器代理的 SSL 通信的 Web 服务通信。 由于 SSL 证书必须受客户端计算机信任,因此我们建议你使用由受信任的 CA 签名的证书。 你选择的所有证书都必须具有相应的私钥。 |
| 令牌解密证书 | 此证书用于解密此联合服务器收到的令牌。 你可以有多个解密证书。 这使得资源联合服务器在一个新的证书被设置为主解密证书后,能够解密使用较旧的证书颁发的令牌。 所有证书都可以用于解密,但是在联合元数据中只实际发布主令牌解密证书。 你选择的所有证书都必须具有相应的私钥。 有关详细信息,请参阅添加令牌解密证书。 |
你可以通过 IIS 的 Microsoft 管理控制台 (MMC) 管理单元请求服务通信证书,请求并安装 SSL 证书或服务通信证书。 有关使用 SSL 证书的更多常规信息,请参阅 IIS 7.0:在 IIS 7.0 中配置安全套接字层和 IIS 7.0:在 IIS 7.0 中配置服务器证书。
注意
在 AD FS 中,可以将用于数字签名的安全哈希算法 (SHA) 级别更改为 SHA-1 或 SHA-256(更加安全)。 AD FS 不支持与诸如 MD5 的其他哈希方法(与 Makecert.exe 命令行工具一起使用的默认哈希算法)一起使用证书。 作为最佳安全做法,我们建议你为所有签名使用 SHA-256(这是默认设置)。 我们建议你仅在必须与不支持使用 SHA-256 通信的产品(如非 Microsoft 产品或 AD FS 1)互操作的情况下使用 SHA-1。 x。
确定 CA 策略
AD FS 不要求证书由 CA 颁发。 但是,SSL 证书(默认情况下也用作服务通信证书的证书)必须受 AD FS 客户端信任。 我们建议你不要为这些证书类型使用自签名证书。
重要
若使用自签名,在生产环境中的 SSL 证书可以使帐户伙伴组织中的恶意用户能够控制资源伙伴组织中的联合服务器。 因为自签名证书是根证书,所以存在此安全风险。 它们肯定会添加到另一台联合服务器(例如,资源联合服务器)的受信任的根存储中,这样会使该服务器容易受到攻击。
从 CA 收到证书后,请确保将所有的证书导入到本地计算机的个人证书存储中。 你可以使用证书 MMC 管理单元将证书导入到个人存储中。
作为使用证书管理单元的替代方法,你还可以在将 SSL 证书分配给默认网站时,使用 IIS 管理器管理单元导入 SSL 证书。 有关详细信息,请参阅向默认网站导入服务器身份验证证书。
注意
在将要成为联合服务器的计算机上安装 AD FS 软件之前,请确保这两个证书存在于本地计算机个人证书存储中,并且已将 SSL 证书分配给默认网站。 若要详细了解设置联合服务器时需要执行的任务的顺序,请参阅清单:设置联合服务器。
根据你的安全和预算需求,请仔细考虑哪些证书将由公共 CA 或企业 CA 来获得。 下图显示了关于给定证书类型的建议的 CA 颁发者。 此建议反映了有关安全和成本的最佳实践方法。
证书吊销列表
如果你使用的任何证书具有 CRL,则具有配置证书的服务器必须能够联系分发 CRL 的服务器。