Dienstkommunikationszertifikate

  • Artikel

Ein Verbundserver erfordert die Verwendung von Dienstkommunikationszertifikaten für Szenarien, in denen WCF-Nachrichtensicherheit verwendet wird.

Anforderungen an Dienstkommunikationszertifikate

Dienstkommunikationszertifikate müssen die folgenden Anforderungen erfüllen, um mit AD FS arbeiten zu können:

  • Das Dienstkommunikationszertifikat muss die EKU-Erweiterung (Enhanced Key Usage, erweiterte Schlüsselverwendung) für Serverauthentifizierung enthalten.

  • Die Zertifikatsperrlisten (Certificate Revocation Lists, CRLs) müssen für alle Zertifikate in der Kette vom Dienstkommunikationszertifikat bis zum Zertifikat der Stammzertifizierungsstelle zugänglich sein. Alle Verbundserverproxys und Webserver, die diesem Verbundserver vertrauen, müssen auch der Stammzertifizierungsstelle vertrauen.

  • Der Antragstellername, der im Dienstkommunikationszertifikat verwendet wird, muss mit dem Verbunddienstnamen in den Eigenschaften des Verbunddiensts übereinstimmen.

Überlegungen zur Bereitstellung von Dienstkommunikationszertifikaten

Konfigurieren Sie Dienstkommunikationszertifikate so, dass alle Verbundserver dasselbe Zertifikat verwenden. Wenn Sie den Verbundwebentwurf mit einmaligem Anmelden bereitstellen, wird empfohlen, Ihr Dienstkommunikationszertifikat von einer öffentlichen Zertifizierungsstelle ausstellen zu lassen. Sie können diese Zertifikate über das IIS-Manager-Snap-In anfordern und installieren.

Sie können ein selbstsigniertes Dienstkommunikationszertifikate erfolgreich auf Verbundservern in einer Testlabumgebung verwenden. Bei einer Produktionsumgebung wird jedoch empfohlen, dass Sie das Dienstkommunikationszertifikat von einer öffentlichen Zertifizierungsstelle beziehen.

Gründe, warum Sie keine selbstsignierten Dienstkommunikationszertifikate für eine Livebereitstellung verwenden sollten:

  • Auf jedem Verbundserver in der Ressourcenpartnerorganisation muss dem vertrauenswürdigen Stammspeicher ein selbstsigniertes SSL-Zertifikat hinzugefügt werden. Ein selbstsigniertes Zertifikat allein ermöglicht es einem Angreifer zwar noch nicht, einen Ressourcenverbundserver zu kompromittieren, doch selbstsignierten Zertifikaten zu vertrauen, vergrößert die Angriffsfläche eines Computers. Wenn der Zertifikatsignierer nicht vertrauenswürdig ist, kann dies zu Sicherheitsrisiken führen.

  • Unter einem selbstsignierten Dienstkommunikationszertifikat leidet die Benutzerfreundlichkeit. Clients erhalten Sicherheitswarnungshinweise, wenn sie versuchen, auf Verbundressourcen zuzugreifen, die die folgende Meldung anzeigen: „Das Sicherheitszertifikat wurde von einem Unternehmen ausgestellt, dem Sie nicht vertrauen möchten.“ Diese Meldung wird erwartet, da das selbstsignierte Zertifikat nicht vertrauenswürdig ist.

    Hinweis

    Bei Bedarf können Sie diese Bedingung umgehen, indem Sie eine Gruppenrichtlinie verwenden, um das selbstsignierte Zertifikat manuell in den vertrauenswürdigen Stammspeicher auf jedem Clientcomputer zu pushen, der versucht, auf einen AD FS-Standort zuzugreifen.

  • Zertifizierungsstellen bieten weitere zertifikatbasierte Features wie Archivierung, Verlängerung und Sperrung privater Schlüssel, die nicht von selbstsignierten Zertifikaten bereitgestellt werden.