同盟伺服器 Proxy 的憑證需求
正在 Active Directory 同盟服務 (AD FS) 中以同盟伺服器 Proxy 角色執行的伺服器,必須使用安全通訊端層 (SSL) 伺服器驗證憑證。 同盟伺服器 proxy 會使用 SSL 伺服器驗證憑證,保護網頁伺服器與 Web 用戶端之間通訊流量的安全。
同盟伺服器 proxy 通常會公開至您的公開金鑰基礎結構 (PKI) 不包含的網際網路上的電腦。 因此,請使用公開 (第三方) 憑證授權單位 (CA) 所簽發的伺服器驗證憑證,例如 VeriSign。
當您具有同盟伺服器 Proxy 伺服器陣列時,所有同盟伺服器 Proxy 電腦都必須使用相同的伺服器驗證憑證。 如需詳細資訊,請參閱 When to Create a Federation Server Proxy Farm。
驗證伺服器驗證憑證中的主體名稱與 AD FS 管理嵌入式管理單元中指定的同盟服務名稱值是否相符非常重要。 若要找出這個值,請開啟嵌入式管理單元,以滑鼠右鍵按一下 [服務],按一下 [編輯 Federation Service 內容],然後在 [Federation Service 名稱] 文字方塊中尋找這個值。
如需有關使用 SSL 憑證的一般資訊,請參閱「在 IIS 7.0 中設定安全通訊端層 (http://go.microsoft.com/fwlink/?LinkID=108544)」和「在 IIS 7.0 中設定伺服器憑證 (http://go.microsoft.com/fwlink/?LinkID=108545)」。
注意
AD FS 同盟伺服器 Proxy 不需要用戶端驗證憑證。
如果您使用的任何憑證包含憑證撤銷清單 (CRL),使用所設定憑證的伺服器必須能夠連絡發佈 CRL 的伺服器。 CRL 的類型決定了要使用的連接埠。