Сертификаты связи между службами
Сервер федерации требует использования сертификатов связи службы для сценариев, в которых используется безопасность сообщений WCF.
Требования к сертификату связи службы
Сертификаты связи службы должны соответствовать следующим требованиям для работы с AD FS:
Сертификат связи службы должен включать расширение расширенного использования ключа (EKU) проверки подлинности сервера.
Списки отзыва сертификатов (CRLS) должны быть доступны для всех сертификатов в цепочке из сертификата связи службы к корневому сертификату ЦС. Все прокси-серверы федерации и веб-серверы, доверенные этому серверу федерации, также должны доверять корневому ЦС.
Имя субъекта, используемое в сертификате связи службы, должно соответствовать имени службы федерации в свойствах службы федерации.
Рекомендации по развертыванию сертификатов связи служб
Настройте сертификаты связи службы, чтобы все серверы федерации использовали один и тот же сертификат. Если вы развертываете проект федеративного единого входа в Федеративный веб-сайт (SSO), рекомендуется, чтобы общедоступный ЦС выдает сертификат связи службы. Эти сертификаты можно запросить и установить с помощью оснастки диспетчера IIS.
Вы можете использовать самозаверяющий сертификат связи службы на серверах федерации в тестовой лабораторной среде. Однако для рабочей среды рекомендуется получить сертификаты связи службы из общедоступного ЦС.
Причины, по которым вы не должны использовать самозаверяющий сертификат связи службы для динамического развертывания:
Самозаверяющий SSL-сертификат должен быть добавлен в доверенное корневое хранилище на каждом из серверов федерации в партнерской организации ресурсов. Хотя самозаверяющий сертификат не позволяет злоумышленнику компрометировать сервер федерации ресурсов, доверия самозаверяющим сертификатам увеличивается область атаки компьютера. Если подписыватель сертификата не является надежным, он может привести к уязвимостям системы безопасности.
Самозаверяющий сертификат связи службы создает плохой интерфейс пользователя. Клиенты получают оповещения системы безопасности при попытке получить доступ к федеративным ресурсам, отображающим следующее сообщение: "Сертификат безопасности выдан компанией, которую вы не выбрали для доверия". Это сообщение ожидается, так как самозаверяющий сертификат не является доверенным.
Примечание.
При необходимости можно обойти это условие с помощью групповой политики, чтобы вручную отправить самозаверяющий сертификат в доверенное корневое хранилище на каждом клиентском компьютере, который пытается получить доступ к сайту AD FS.
Центры сертификации предоставляют больше возможностей на основе сертификатов, таких как архив закрытых ключей, продление и отзыв, которые не предоставляются самозаверяющими сертификатами.