フェデレーション サーバー プロキシのための証明要件

Active Directory フェデレーション サービス (AD FS) 2.0 においてActive Directory 2. 0 フェデレーション サービスpの役割で実行されているサーバーは、SSL (Secure Sockets Layer) サーバー認証証明書を使用する必要があります。フェデレーション サーバー プロキシは、SSL サーバー認証証明書を使用して、Web サーバーと Web クライアントの間のトラフィック通信をセキュリティで保護します。

通常、フェデレーション サーバー プロキシは、自社の公開キー基盤 (PKI) に含まれないインターネット上のコンピューターに公開されます。そのため、VeriSign などの公的 (サード パーティ) 証明機関 (CA) によって発行されるサーバー認証証明書を使用する必要があります。

Active Directory 2. 0 フェデレーション サービスp ファームが存在する場合は、すべてのActive Directory 2. 0 フェデレーション サービスp コンピューターが同じサーバー認証証明書を使用する必要があります。詳細については、「フェデレーション サーバー プロキシ ファームを作成する場合」を参照してください。

サーバー認証証明書のサブジェクト名が AD FS 2.0 管理スナップインで指定されているフェデレーション サービス名の値と一致していることを必ず確認してください。この値を見つけるには、スナップインを開き、[Service] を右クリックし、[Edit Federation Service Properties] をクリックします。次に、[Federation Service name] テキスト ボックスで、その値を確認します。

SSL 証明書の使用に関する一般的な情報については、「IIS 7.0: IIS 7.0 で SSL (Secure Sockets Layer) を構成する」(http://go.microsoft.com/fwlink/?LinkID=108544) および「IIS 7.0: IIS 7.0 でサーバー証明書を構成する」(http://go.microsoft.com/fwlink/?LinkID=108545) を参照してください。

AD FS 2.0 Active Directory 2. 0 フェデレーション サービス プロキシでは、クライアント認証証明書は必要ありません。

 

使用する証明書に証明書失効リスト (CRL) が含まれている場合、その証明書を使用して構成されたサーバーは、その CRL を配布するサーバーにアクセスできる必要があります。CRL の種類により、使用されるポートが決まります。