Сертификаты связи между службами

  • Статья

Сервер федерации требует использования сертификатов связи службы для сценариев, в которых используется безопасность сообщений WCF.

Требования к сертификату связи службы

Сертификаты связи службы должны соответствовать следующим требованиям для работы с AD FS:

  • Сертификат связи службы должен включать расширение расширенного использования ключа (EKU) проверки подлинности сервера.

  • Списки отзыва сертификатов (CRLS) должны быть доступны для всех сертификатов в цепочке из сертификата связи службы к корневому сертификату ЦС. Все прокси-серверы федерации и веб-серверы, доверенные этому серверу федерации, также должны доверять корневому ЦС.

  • Имя субъекта, используемое в сертификате связи службы, должно соответствовать имени службы федерации в свойствах службы федерации.

Рекомендации по развертыванию сертификатов связи служб

Настройте сертификаты связи службы, чтобы все серверы федерации использовали один и тот же сертификат. Если вы развертываете проект федеративного единого входа в Федеративный веб-сайт (SSO), рекомендуется, чтобы общедоступный ЦС выдает сертификат связи службы. Эти сертификаты можно запросить и установить с помощью оснастки диспетчера IIS.

Вы можете использовать самозаверяющий сертификат связи службы на серверах федерации в тестовой лабораторной среде. Однако для рабочей среды рекомендуется получить сертификаты связи службы из общедоступного ЦС.

Причины, по которым вы не должны использовать самозаверяющий сертификат связи службы для динамического развертывания:

  • Самозаверяющий SSL-сертификат должен быть добавлен в доверенное корневое хранилище на каждом из серверов федерации в партнерской организации ресурсов. Хотя самозаверяющий сертификат не позволяет злоумышленнику компрометировать сервер федерации ресурсов, доверия самозаверяющим сертификатам увеличивается область атаки компьютера. Если подписыватель сертификата не является надежным, он может привести к уязвимостям системы безопасности.

  • Самозаверяющий сертификат связи службы создает плохой интерфейс пользователя. Клиенты получают оповещения системы безопасности при попытке получить доступ к федеративным ресурсам, отображающим следующее сообщение: "Сертификат безопасности выдан компанией, которую вы не выбрали для доверия". Это сообщение ожидается, так как самозаверяющий сертификат не является доверенным.

    Примечание.

    При необходимости можно обойти это условие с помощью групповой политики, чтобы вручную отправить самозаверяющий сертификат в доверенное корневое хранилище на каждом клиентском компьютере, который пытается получить доступ к сайту AD FS.

  • Центры сертификации предоставляют больше возможностей на основе сертификатов, таких как архив закрытых ключей, продление и отзыв, которые не предоставляются самозаверяющими сертификатами.