同盟伺服器的憑證需求
在任何 Active Directory 同盟服務 (AD FS) 設計中,必須使用各種憑證保護通訊並協助使用者在網際網路用戶端與同盟伺服器之間進行驗證。 每個同盟伺服器都必須擁有服務通訊憑證及權杖簽署憑證,才能參與 AD FS 通訊。 下表說明與同盟伺服器相關聯的憑證類型。
| 憑證類型 | 描述 |
|---|---|
| 權杖簽署憑證 | 權杖簽署憑證是 x509 憑證。 同盟伺服器會使用相關聯的公開/私密金鑰組,以數位方式簽署它們產生的所有安全性權杖。 這包括簽署已發佈的同盟中繼資料及成品解析要求。 您可以在 AD FS 管理嵌入式管理單元中設定數個權杖簽署憑證,以便在某一個憑證即將到期時,允許進行憑證變換。 根據預設,清單中的所有憑證都會發佈,但是 AD FS 只會使用主要權杖簽署憑證來實際簽署權杖。 您選取的所有憑證都必須具備相對應的私密金鑰。 如需詳細資訊,請參閱 Token-Signing Certificates 和 Add a Token-Signing Certificate。 |
| 服務通訊憑證 | 同盟伺服器會使用伺服器驗證憑證,也就是適用於 Windows Communication Foundation (WCF) 訊息安全性的服務通訊。 根據預設,這是同盟伺服器用於作為網際網路資訊服務 (IIS) 中安全通訊端層 (SSL) 憑證的相同憑證。 注意:AD FS 管理嵌入式管理單元會將同盟伺服器的伺服器驗證憑證稱為服務通訊憑證。 由於服務通訊憑證必須受到用戶端電腦信任,因此,建議您使用由信任的憑證授權單位 (CA) 所簽署的憑證。 您選取的所有憑證都必須具備相對應的私密金鑰。 |
| 安全通訊端層 (SSL) 憑證 | 同盟伺服器會使用 SSL 憑證,針對與 Web 用戶端及同盟伺服器 Proxy 的 SSL 通訊來保護 Web 服務流量的安全。 由於 SSL 憑證必須受到用戶端電腦信任,因此,建議您使用由信任的 CA 所簽署的憑證。 您選取的所有憑證都必須具備相對應的私密金鑰。 |
| 權杖解密憑證 | 這個憑證可用於解密此同盟伺服器收到的權杖。 您可以有多個解密憑證。 資源同盟伺服器便能在將新憑證設定為主要解密憑證之後,解密使用較舊憑證所簽發的權杖。 所有的憑證都可以用來解密,但是只有主要權杖解密憑證才會在同盟中繼資料中實際發佈。 您選取的所有憑證都必須具備相對應的私密金鑰。 如需詳細資訊,請參閱新增權杖解密憑證。 |
您可以透過適用於 IIS 的 Microsoft 管理主控台 (MMC) 嵌入式管理單元來要求服務通訊憑證,藉以要求及安裝 SSL 憑證或服務通訊憑證。 如需有關使用 SSL 憑證的一般資訊,請參閱 IIS 7.0:在 IIS 7.0 中設定安全通訊端層以及 IIS 7.0:在 IIS 7.0 中設定伺服器憑證。
注意
在 AD FS 中,您可以將用於數位簽章的安全雜湊演算法 (SHA) 等級變更為 SHA-1 或 SHA-256 (較安全)。 AD FS 不支援將憑證與其他雜湊方法搭配使用,例如 MD5 (可與 Makecert.exe 命令列工具搭配使用的預設雜湊演算法)。 基於安全性最佳作法的考量,建議您針對所有簽章使用 SHA-256 (此為預設設定)。 建議您只有在必須與不支援使用 SHA-256 進行通訊的產品相互操作的情況下使用 SHA-1,例如,非 Microsoft 產品或 AD FS 1。 x。
決定您的 CA 策略
AD FS 不需要 CA 所簽發的憑證。 但是,SSL 憑證 (預設也會用於作為服務通訊憑證的憑證) 必須受到 AD FS 用戶端所信任。 建議您不要針對這些憑證類型使用自我簽署憑證。
重要
在實際執行環境中使用自我簽署的 SSL 憑證,會讓帳戶夥伴組織中的惡意使用者接管資源夥伴組織中同盟伺服器的控制權。 這個安全性風險存在是因為自我簽署憑證為根憑證。 您必須將其新增至其他同盟伺服器 (例如,資源同盟伺服器) 信任的根存放區,這可能導致該伺服器容易遭受攻擊。
在您收到來自 CA 的憑證之後,請確定會將所有憑證匯入本機電腦的個人憑證存放區。 您可以使用 [憑證] MMC 嵌入式管理單元,將憑證匯入個人存放區。
做為另一種使用 [憑證] 嵌入式管理單元的方法,您也可以在將 SSL 憑證指派到預設網站時,使用 [IIS 管理員] 嵌入式管理單元匯入 SSL 憑證。 如需詳細資訊,請參閱將伺服器驗證憑證匯入到預設的網站。
注意
在將成為同盟伺服器的電腦上安裝 AD FS 軟體之前,請先確認這兩個憑證都位於 [本機電腦] 個人憑證存放區中,而且已將 SSL 憑證指派至 [預設的網站]。 如需設定同盟伺服器所需工作順序的詳細資訊,請參閱檢查清單:設定同盟伺服器。
根據您的安全性和預算需求而定,請仔細考慮您的哪些憑證將透過公用 CA 或企業 CA 來取得。 下圖顯示特定憑證類型之建議的 CA 簽發者。 這項建議反映關於安全性與成本的最佳處理方法。
憑證撤銷清單
如果您使用的任何憑證具有 CRL,含有已設定憑證的伺服器就必須能夠連絡發佈 CRL 的伺服器。