Tokensignaturzertifikate

  • Artikel

Verbundserver erfordern Tokensignaturzertifikate, um zu verhindern, dass Angreifer Sicherheitstoken ändern oder fälschen, um unbefugten Zugriff auf Verbundressourcen zu erhalten. Die Paare aus privatem und öffentlichem Schlüssel, die bei Tokensignaturzertifikaten verwendet werden, sind der wichtigste Validierungsmechanismus jeder Verbundpartnerschaft. Diese Schlüssel stellen sicher, dass ein Sicherheitstoken von einem gültigen Partnerverbundserver ausgestellt und dass das Token während der Übertragung nicht geändert wurde.

Anforderungen an Tokensignaturzertifikate

Ein Tokensignaturzertifikat muss die folgenden Anforderungen erfüllen, damit es mit AD FS verwendet werden kann:

  • Damit ein Tokensignaturzertifikat ein Sicherheitstoken erfolgreich signieren kann, muss das Tokensignaturzertifikat einen privaten Schlüssel enthalten.

  • Das AD FS-Dienstkonto muss über Zugriff auf den privaten Schlüssel des Tokensignaturzertifikats im persönlichen Speicher des lokalen Computers verfügen. Dafür wird während des Setups gesorgt. Sie können auch das AD FS-Snap-In „Verwaltung“ verwenden, um diesen Zugriff sicherzustellen, wenn Sie das Tokensignaturzertifikat anschließend ändern.

Hinweis

Es ist eine bewährte Methode der PKI (Public Key-Infrastruktur), den privaten Schlüssel nicht für mehrere Zwecke einzusetzen. Verwenden Sie daher das Dienstkommunikationszertifikat, das Sie auf dem Verbundserver installiert haben, nicht als Tokensignaturzertifikat.

Partnerübergreifende Verwendung von Tokensignaturzertifikaten

Jedes Tokensignaturzertifikat enthält kryptografische private Schlüssel und öffentliche Schlüssel, die zum digitalen Signieren eines Sicherheitstokens (mithilfe des privaten Schlüssels) verwendet werden. Später, nachdem sie von einem Partnerverbundserver empfangen wurden, überprüfen diese Schlüssel die Authentizität des verschlüsselten Sicherheitstokens (anhand des öffentlichen Schlüssels).

Da jedes Sicherheitstoken vom Kontopartner digital signiert wird, kann der Ressourcenpartner überprüfen, ob das Sicherheitstoken tatsächlich vom Kontopartner ausgestellt und nicht geändert wurde. Digitale Signaturen werden durch den öffentlichen Schlüsselteil des Tokensignaturzertifikats eines Partners überprüft. Nachdem die Signatur überprüft wurde, generiert der Ressourcenverbundserver ein eigenes Sicherheitstoken für seine Organisation und signiert das Sicherheitstoken mit einem eigenen Tokensignaturzertifikat.

Stellen Sie für Verbundpartnerumgebungen Folgendes sicher, wenn das Tokensignaturzertifikat von einer Zertifizierungsstelle ausgestellt wurde:

  1. Die Zertifikatssperrlisten des Zertifikats sind für vertrauende Parteien und Webserver zugänglich, die dem Verbundserver vertrauen.

  2. Das Zertifikat der Stammzertifizierungsstelle wird von den vertrauenden Parteien und von den Webservern als vertrauenswürdig eingestuft, die dem Verbundserver vertrauen.

Der Webserver im Ressourcenpartner verwendet den öffentlichen Schlüssel des Tokensignaturzertifikats, um zu überprüfen, ob das Sicherheitstoken vom Ressourcenverbundserver signiert ist. Der Webserver ermöglicht dem Client dann den entsprechenden Zugriff.

Überlegungen zur Bereitstellung für Tokensignaturzertifikate

Wenn Sie den ersten Verbundserver in einer neuen AD FS-Installation bereitstellen, müssen Sie ein Tokensignaturzertifikat abrufen und es im persönlichen Zertifikatspeicher des lokalen Computers auf diesem Verbundserver installieren. Sie können ein Tokensignaturzertifikat abrufen, indem Sie eines von einer Unternehmenszertifizierungsstelle oder einer öffentlichen Zertifizierungsstelle anfordern oder ein selbstsigniertes Zertifikat erstellen.

  • Ein privater Schlüssel aus einem Tokensignaturzertifikat wird von allen Verbundservern in einer Farm gemeinsam genutzt.

    In einer Verbundserverfarm-Umgebung sollten alle Verbundserver dasselbe Tokensignaturzertifikat gemeinsam nutzen (oder wiederverwenden). Sie können ein einziges Tokensignaturzertifikat von einer Zertifizierungsstelle auf einem Verbundserver installieren und dann den privaten Schlüssel exportieren, solange das ausgestellte Zertifikat als exportierbar gekennzeichnet ist.

    Wie in der folgenden Abbildung gezeigt, kann der private Schlüssel aus einem einzigen Tokensignaturzertifikat für alle Verbundserver in einer Farm freigegeben werden. Im Vergleich zur folgenden Option „Eindeutiges Tokensignaturzertifikat“ können Sie mit dieser Option die Kosten reduzieren, wenn Sie planen, ein Tokensignaturzertifikat von einer öffentlichen Zertifizierungsstelle abzurufen.

    Illustration that shows the private key from a single token-signing certificate can be shared to all the federation servers in a farm.

Informationen zum Installieren eines Zertifikats bei Verwendung der Microsoft Certificate Services als Unternehmenszertifizierungsstelle finden Sie unter IIS 7.0: Erstellen eines Domänenserverzertifikats in IIS 7.0.

Informationen zum Installieren eines Zertifikats von einer öffentlichen Zertifizierungsstelle finden Sie unter IIS 7.0: Anfordern eines Internetserverzertifikats.

Informationen zum Installieren eines selbstsignierten Zertifikats finden Sie unter IIS 7.0: Erstellen eines selbstsignierten Serverzertifikats in IIS 7.0.

Weitere Informationen

AD FS-Entwurfshandbuch in Windows Server 2012