Share via

Certificats de communication de service

  • Article

Un serveur de fédération nécessite l’utilisation de certificats de communication du service pour les scénarios dans lesquels la sécurité des messages WCF est utilisée.

Conditions requises du certificat de communication du service

Les certificats de communication du service doivent répondre aux exigences suivantes pour fonctionner avec AD FS :

  • Le certificat de communication du service doit inclure l’extension d’utilisation améliorée de la clé (EKU) de l’authentification du serveur.

  • Les listes de révocation de certificats doivent être accessibles pour tous les certificats de la chaîne, du certificat de communication du service au certificat d’autorité de certification racine. Les serveurs proxy de fédération et les serveurs web qui approuvent ce serveur de fédération doivent aussi approuver l’autorité de certification racine.

  • Le nom de l’objet utilisé dans le certificat de communication de service doit correspondre au nom du service FS (Federation Service) dans les propriétés du service FS.

Considérations relatives au déploiement pour les certificats de communication du service

Configurez les certificats de communication du service afin que tous les serveurs de fédération utilisent le même certificat. Si vous déployez la conception Federated Web Single-Sign-On (SSO), nous recommandons qu’une autorité de certification publique émette votre certificat de communication de service. Vous pouvez demander et installer ces certificats par le biais du composant logiciel enfichable Gestionnaire des services Internet (IIS).

Vous pouvez utiliser des certificats de communication du service auto-signés avec succès sur les serveurs de fédération dans un environnement de laboratoire de test. Toutefois, pour un environnement de production, nous vous recommandons d'obtenir les certificats de communication du service auprès d'une autorité de certification publique.

Voici les raisons pour lesquelles vous ne devez pas utiliser des certificats de communication de service auto-signés pour un déploiement dynamique :

  • Un certificat SSL auto-signé doit être ajouté au magasin racine approuvé sur chacun des serveurs de fédération de l’organisation partenaire de ressource. Bien qu’un certificat auto-signé ne permette pas à un attaquant de compromettre un serveur de fédération de ressources, l’approbation de certificats auto-signés augmente la surface d’attaque d’un ordinateur. Si le signataire du certificat n’est pas fiable, cela peut entraîner des vulnérabilités de sécurité.

  • Un certificat de communication de service auto-signé crée une mauvaise expérience utilisateur. Les clients reçoivent des invites d’alerte de sécurité quand ils essaient d’accéder à ressources fédérées qui affichent le message suivant : « Le certificat de sécurité a été délivré par une société à laquelle vous n’avez pas accordé votre confiance ». Ce message est attendu, car le certificat auto-signé n’est pas approuvé.

    Notes

    Si nécessaire, vous pouvez contourner cette condition en utilisant une stratégie de groupe pour envoyer manuellement le certificat auto-signé au magasin racine approuvé sur chaque ordinateur client qui tente d’accéder à un site AD FS.

  • Les autorités de certification fournissent des fonctionnalités supplémentaires basées sur des certificats, comme l’archivage de clé privée, le renouvellement et la révocation, qui ne sont pas fournies par les certificats auto-signés.