Zertifikatanforderungen für Verbundserver

In jedem Entwurf für die Active Directory-Verbunddienste (Active Directory Federation Services, AD FS) müssen verschiedene Zertifikate verwendet werden, um die Kommunikation abzusichern und die Benutzerauthentifizierung zwischen Internetclients und Verbundservern zu vereinfachen. Jeder Verbundserver muss über ein Dienstkommunikationszertifikat und ein Tokensignaturzertifikat verfügen, bevor er an einer AD FS-Kommunikation teilnehmen kann. Die folgende Tabelle beschreibt die Zertifikattypen, die einem Verbundserver zugeordnet sind.

Zertifikattyp BESCHREIBUNG
Tokensignaturzertifikat Ein Tokensignaturzertifikat ist ein X509-Zertifikat. Verbundserver verwenden zugeordnete öffentliche/private Schlüsselpaare, um alle von ihnen produzierten Sicherheitstoken digital zu signieren. Dazu gehört das Signieren von veröffentlichten Verbundmetadaten und Artefaktauflösungsanforderungen.

Sie können im AD FS-Verwaltungs-Snap-In mehrere Tokensignaturzertifikate konfigurieren, um einen Zertifikatwechsel zu ermöglichen, wenn ein Zertifikat in Kürze abläuft. Standardmäßig werden alle Zertifikate in der Liste veröffentlicht, aber zum Signieren von Token verwendet AD FS nur das primäre Tokensignaturzertifikat. Alle von Ihnen ausgewählten Zertifikate müssen über einen entsprechenden privaten Schlüssel verfügen.

Weitere Informationen finden Sie unter Tokensignaturzertifikate und Hinzufügen eines Tokensignaturzertifikats.

Dienstkommunikationszertifikat Verbundserver verwenden ein Serverauthentifizierungszertifikat, das auch als Windows Communication Foundation (WCF)-Nachrichtensicherheit bezeichnet wird. Standardmäßig ist dies dasselbe Zertifikat, das ein Verbundserver als SSL-Zertifikat (Secure Sockets Layer) in den Internetinformationsdiensten (IIS) verwendet. Hinweis: Im AD FS-Verwaltungs-Snap-In werden Serverauthentifizierungszertifikate für Verbundserver als Dienstkommunikationszertifikate bezeichnet.

Weitere Informationen finden Sie unter Dienstkommunikationszertifikate und Festlegen eines Dienstkommunikationszertifikats.

Da das Dienstkommunikationszertifikat für Clientcomputer vertrauenswürdig sein muss, wird empfohlen, ein Zertifikat zu verwenden, das von einer vertrauenswürdigen Zertifizierungsstelle signiert ist. Alle von Ihnen ausgewählten Zertifikate müssen über einen entsprechenden privaten Schlüssel verfügen.

SSL (Secure Sockets Layer)-Zertifikat Verbundserver verwenden ein SSL-Zertifikat, um den Webdienstdatenverkehr für die SSL-Kommunikation mit Webclients und Verbundserverproxies zu sichern.

Da das SSL-Zertifikat für Clientcomputer vertrauenswürdig sein muss, wird empfohlen, ein Zertifikat zu verwenden, das von einer vertrauenswürdigen Zertifizierungsstelle signiert ist. Alle von Ihnen ausgewählten Zertifikate müssen über einen entsprechenden privaten Schlüssel verfügen.

Tokenentschlüsselungszertifikat Dieses Zertifikat wird für die Entschlüsselung von Token verwendet, die von diesem Verbundserver empfangen werden.

Sie können mehrere Entschlüsselungszertifikate haben. Dies ermöglicht es einem Ressourcenverbundserver, mit einem älteren Zertifikat ausgestellte Token zu entschlüsseln, nachdem ein neues Zertifikat als primäres Entschlüsselungszertifikat festgelegt wurde. Alle Zertifikate können für die Entschlüsselung verwendet werden, aber nur das primäre Tokenentschlüsselungszertifikat wird tatsächlich in den Verbundmetadaten veröffentlicht. Alle von Ihnen ausgewählten Zertifikate müssen über einen entsprechenden privaten Schlüssel verfügen.

Weitere Informationen finden Sie unter Hinzufügen eines Tokenentschlüsselungszertifikats.

Sie können ein SSL- oder Dienstkommunikationszertifikat anfordern und installieren, indem Sie ein Dienstkommunikationszertifikat über das Microsoft Management Console (MMC)-Snap-In für IIS anfordern. Allgemeine Informationen zum Verwenden von SSL-Zertifikaten finden Sie unter IIS 7.0: Konfigurieren von Secure Sockets Layer (SSL) in IIS 7.0 und IIS 7.0: Konfigurieren von Serverzertifikaten in IIS 7.0.

Hinweis

In AD FS können Sie die für digitale Signaturen verwendete SHA-Ebene (Secure Hash Algorithm) in SHA-1 oder SHA-256 (höhere Sicherheit) ändern. AD FS bietet keine Unterstützung für die Verwendung von Zertifikaten mit anderen Hashmethoden als MD5 (Standardhashalgorithmus, der mit dem Befehlszeilentool „Makecert.exe“ verwendet wird). Als bewährte Sicherheitsmethode empfehlen wir die Verwendung von SHA-256 (Standardeinstellung) für alle Signaturen. SHA-1 wird nur in Szenarien empfohlen, in denen Sie mit einem Produkt interoperieren müssen, das keine Kommunikation über SHA-256 unterstützt, beispielsweise ein nicht von Microsoft stammendes Produkt oder AD FS 1. x.

Festlegen Ihrer CA-Strategie

In AD FS müssen Zertifikate nicht von einer Zertifizierungsstelle ausgestellt werden. Das SSL-Zertifikat (das Zertifikat, das standardmäßig auch als Zertifikat für die Dienstkommunikation verwendet wird) muss jedoch von den AD FS-Clients als vertrauenswürdig eingestuft werden. Wir empfehlen, für diese Zertifikattypen keine selbstsignierten Zertifikate zu verwenden.

Wichtig

Die Verwendung von selbstsignierten SSL-Zertifikaten in einer Produktionsumgebung kann es einem böswilligen Benutzer in einer Kontopartnerorganisation ermöglichen, die Kontrolle über Verbundserver in einer Ressourcenpartnerorganisation zu übernehmen. Dieses Sicherheitsrisiko besteht, weil selbstsignierte Zertifikate keine Stammzertifikate sind. Sie müssen dem vertrauenswürdigen Stammspeicher eines anderen Verbundservers (z. B. des Ressourcenverbundservers) hinzugefügt werden, was diesen Server anfällig für Angriffe machen kann.

Nachdem Sie ein Zertifikat von einer Zertifizierungsstelle erhalten haben, stellen Sie sicher, dass alle Zertifikate in den persönlichen Zertifikatspeicher auf dem lokalen Computer importiert werden. Sie können Zertifikate über das MMC-Snap-In „Zertifikate“ in den persönlichen Speicher importieren.

Alternativ zur Verwendung des Snap-Ins „Zertifikate“ können Sie das SSL-Zertifikat auch mit dem Snap-In „IIS-Manager“ zum selben Zeitpunkt importieren, zu dem Sie das SSL-Zertifikat der Standardwebsite zuweisen. Weitere Informationen finden Sie unter Importieren eines Serverauthentifizierungszertifikats zur Standardwebsite.

Hinweis

Bevor Sie die AD FS-Software auf dem Computer installieren, der zum Verbundserver wird, stellen Sie sicher, dass sich beide Zertifikate im persönlichen Zertifikatspeicher des lokalen Computers befinden und dass das SSL-Zertifikat der Standardwebsite zugewiesen ist. Weitere Informationen zur Reihenfolge der Aufgaben, die zum Einrichten eines Verbundservers erforderlich sind, finden Sie unter Prüfliste: Einrichten eines Verbundservers.

Je nach Sicherheits- und Budgetanforderungen sollten Sie sorgfältig in Betracht ziehen, welche Ihrer Zertifikate von einer öffentlichen oder einer Unternehmenszertifizierungsstelle abgerufen werden. In der folgenden Abbildung sind die empfohlenen Zertifizierungsstellenaussteller für einen bestimmten Zertifikattyp dargestellt. Diese Empfehlung stellt einen Ansatz mit bewährten Methoden hinsichtlich Sicherheit und Kosten dar.

cert requirements

Zertifikatsperrliste

Falls ein von Ihnen verwendetes Zertifikat über Zertifikatsperrlisten (Certificate Revocation Lists, CRLs) verfügt, muss der Server mit dem konfigurierten Zertifikat den Server kontaktieren können, von dem die CRLs verteilt werden.

Weitere Informationen

AD FS-Entwurfshandbuch in Windows Server 2012