Zertifikatanforderungen für Verbundserverproxies
Server, die mit der Rolle „Verbundserverproxy“ in Active Directory-Verbunddienste (AD FS) ausgeführt werden, müssen SSL-Serverauthentifizierungszertifikate (Secure Sockets Layer) verwenden. Verbundserverproxys verwenden SSL-Serverauthentifizierungszertifikate zum Schützen der Datenkommunikation von Webservern mit Webclients.
Verbundserverproxys werden in der Regel für Computer im Internet verfügbar gemacht, die nicht in der Public-Key-Infrastruktur (PKI) Ihres Unternehmens enthalten sind. Verwenden Sie deshalb ein Serverauthentifizierungszertifikat, das von einer öffentlichen (Drittanbieter-) Zertifizierungsstelle wie VeriSign ausgestellt wurde.
Wenn Sie über eine Verbundserverproxyfarm verfügen, müssen alle Verbundserverproxycomputer dasselbe Serverauthentifizierungszertifikat verwenden. Weitere Informationen finden Sie unter When to Create a Federation Server Proxy Farm.
Es ist wichtig sicherzustellen, dass der Antragstellername im Serverauthentifizierungszertifikat dem im AD FS-Verwaltungs-Snap-In angegebenen Verbunddienst-Namenswert entspricht. Öffnen Sie zum Suchen dieses Werts das Snap-In, und klicken Sie mit der rechten Maustaste auf Dienst. Klicken Sie dann auf Verbunddiensteigenschaften bearbeiten. Suchen Sie den Wert im Textfeld Verbunddienstname.
Allgemeine Informationen zum Verwenden von SSL-Zertifikaten finden Sie unter „Konfigurieren von Secure Sockets Layer (SSL) in IIS 7.0“ (http://go.microsoft.com/fwlink/?LinkID=108544) und „Konfigurieren von Serverzertifikaten in IIS 7.0“ (http://go.microsoft.com/fwlink/?LinkID=108545).
Hinweis
Clientauthentifizierungszertifikate sind für AD FS-Verbundserverproxys nicht erforderlich.
Falls ein von Ihnen verwendetes Zertifikat über Zertifikatsperrlisten (Certificate Revocation Lists, CRLs) verfügt, muss der Server mit dem konfigurierten Zertifikat den Server kontaktieren können, von dem die CRLs verteilt werden. Anhand des CRL-Typs wird vorgegeben, welche Ports verwendet werden.