联合服务器的证书要求

在任何Active Directory 联合身份验证服务 (AD FS) 设计中,都必须使用各种证书来保护通信,并促进 Internet 客户端与联合服务器之间的用户身份验证。 每个联合服务器必须具有服务通信证书和令牌签名证书,然后才能参与 AD FS 通信。 下表描述了与联合服务器关联的证书类型。

证书类型 说明
令牌签名证书 令牌签名证书是一个 X509 证书。 联合服务器使用关联的公钥/私钥对,对它们产生的所有安全令牌进行数字签名。 这包括已发布的联合元数据和项目分辨率请求的签名。

可以在 AD FS 管理管理单元中配置多个令牌签名证书,以便在一个证书即将过期时允许证书滚动更新。 默认情况下,列表中的所有证书都已发布,但 AD FS 仅使用主令牌签名证书来实际对令牌进行签名。 你选择的所有证书都必须具有相应的私钥。

有关详细信息,请参阅令牌签名证书添加令牌签名证书

服务通信证书 联合服务器使用服务器身份验证证书,也称为 Windows Communication Foundation (WCF) 消息安全性的服务通信。 默认情况下,这是联合服务器在INTERNET INFORMATION SERVICES (IIS) 中用作安全套接字层 (SSL) 证书的证书。 注意: AD FS 管理单元是指联合服务器作为服务通信证书的服务器身份验证证书。

有关详细信息,请参阅 服务通信证书设置服务通信证书

由于服务通信证书必须受客户端计算机信任,因此我们建议你使用由受信任的证书颁发机构 (CA) 签名的证书。 你选择的所有证书都必须具有相应的私钥。

安全套接字层 (SSL) 证书 联合服务器使用 SSL 证书来保护与 Web 客户端以及与联合服务器代理的 SSL 通信的 Web 服务通信。

由于 SSL 证书必须受客户端计算机信任,因此我们建议你使用由受信任的 CA 签名的证书。 你选择的所有证书都必须具有相应的私钥。

令牌解密证书 此证书用于解密此联合服务器收到的令牌。

你可以有多个解密证书。 这样,资源联合服务器就可以在将新证书设置为主解密证书后解密使用旧证书颁发的令牌。 所有证书都可以用于解密,但是在联合元数据中只实际发布主令牌解密证书。 你选择的所有证书都必须具有相应的私钥。

有关详细信息,请参阅 添加Token-Decrypting证书

你可以通过 IIS 的 Microsoft 管理控制台 (MMC) 管理单元请求服务通信证书,请求并安装 SSL 证书或服务通信证书。 有关使用 SSL 证书的更多常规信息,请参阅 IIS 7.0:在 IIS 7.0IIS 7.0 中配置安全套接字层:在 IIS 7.0 中配置服务器证书

注意

在 AD FS 中,可以将用于数字签名的安全哈希算法 (SHA) 级别更改为 SHA-1 或 SHA-256 (更安全) 。 AD FSdoes 不支持将证书与其他哈希方法一起使用,例如 MD5 (与Makecert.exe命令行工具) 一起使用的默认哈希算法。 作为最佳安全做法,我们建议你为所有签名使用 SHA-256(这是默认设置)。 我们建议你仅在必须与不支持使用 SHA-256 通信的产品(如非 Microsoft 产品或 AD FS 1)互操作的情况下使用 SHA-1。 x

确定 CA 策略

AD FS 不需要 CA 颁发证书。 但是,SSL 证书 (默认情况下用作服务通信证书的证书) 必须由 AD FS 客户端信任。 我们建议你不要为这些证书类型使用自签名证书。

重要

使用生产环境中的自签名 SSL 证书可以允许帐户合作伙伴组织中的恶意用户控制资源合作伙伴组织中的联合服务器。 因为自签名证书是根证书,所以存在此安全风险。 必须将其添加到另一个联合服务器的受信任根存储 (中,例如资源联合服务器) ,这会使该服务器容易受到攻击。

从 CA 收到证书后,请确保将所有的证书导入到本地计算机的个人证书存储中。 你可以使用证书 MMC 管理单元将证书导入到个人存储中。

作为使用证书管理单元的替代方法,你还可以在将 SSL 证书分配给默认网站时,使用 IIS 管理器管理单元导入 SSL 证书。 有关详细信息,请参阅 将服务器身份验证证书导入到默认网站

注意

在将成为联合服务器的计算机上安装 AD FS 软件之前,请确保这两个证书都位于本地计算机个人证书存储中,并将 SSL 证书分配给默认网站。 有关设置联合服务器所需的任务顺序的详细信息,请参阅 清单:设置联合服务器

根据你的安全和预算需求,请仔细考虑哪些证书将由公共 CA 或企业 CA 来获得。 下图显示了关于给定证书类型的建议的 CA 颁发者。 此建议反映了有关安全和成本的最佳实践方法。

cert requirements

证书吊销列表

如果你使用的任何证书具有 CRL,则具有配置证书的服务器必须能够联系分发 CRL 的服务器。

另请参阅

Windows Server 2012 中的 AD FS 设计指南