Requisitos de certificado para servidores de federación
En cualquier diseño de Servicios de federación de Active Directory (AD FS), deben usarse varios certificados para proteger la comunicación y facilitar las autenticaciones de usuario entre clientes de Internet y servidores de federación. Cada servidor de federación debe tener un certificado de comunicación de servicio y un certificado de firma de tokens para poder participar en las comunicaciones de AD FS. En la siguiente tabla se describen los tipos de certificado asociados con el servidor de federación.
| Tipo de certificado | Descripción |
|---|---|
| Certificado de firma de tokens | Un certificado de firma de tokens es un certificado X509. Los servidores de federación utilizan pares de claves pública-privada para firmar digitalmente todos los tokens de seguridad que producen. Esto incluye la firma de metadatos de federación publicados y solicitudes de resolución de artefactos. Es posible tener varios certificados de firma de tokens configurados en el complemento Administración de AD FS para permitir la sustitución de certificados cuando alguno esté a punto de expirar. De forma predeterminada, todos los certificados de la lista están publicados, pero AD FS solo usa el certificado principal de firma de tokens para firmar los tokens. Todos los certificados que selecciones deben tener su propia clave privada. Para obtener más información, consulta Certificados de firma de tokens y Agregar un certificado de firma de tokens. |
| Certificado de comunicación de servicios | Los servidores de federación usan un certificado de autenticación de servidores, también llamado certificado de comunicación de servicios según la Seguridad de mensajes de Windows Communication Foundation (WCF). De manera predeterminada, este es el mismo certificado que usa un servidor de federación como certificado de Capa de sockets seguros (SSL) en Internet Information Services (IIS). Nota: El complemento Administración de AD FS hace referencia a los certificados de autenticación de servidor para los servidores de federación como certificados de comunicación de servicio. Para más información, consulte Certificados de comunicaciones de servicios y Establecimiento de un certificado de comunicaciones de servicio. Dado que el certificado de comunicación de servicios debe ser de confianza para los equipos cliente, recomendamos usar un certificado que lleve la firma de una entidad de certificación (CA) de confianza. Todos los certificados que selecciones deben tener su propia clave privada. |
| certificado de Capa de sockets seguros (SSL) | Los servidores de federación usan un certificado SSL para proteger el tráfico de servicios web para la comunicación SSL con clientes web y con los servidores proxy de federación. Dado que el certificado SSL debe ser de confianza para los equipos cliente, recomendamos usar un certificado que lleve la firma de una CA de confianza. Todos los certificados que selecciones deben tener su propia clave privada. |
| Certificado de descifrado de token | Este certificado se usa para descifrar los tokens recibidos por este servidor de federación. Es posible disponer de varios certificados de descifrado. Esto hace que un servidor de federación de recursos pueda descifrar tokens emitidos por un certificado antiguo tras establecer un certificado nuevo como certificado de descifrado principal. Todos los certificados pueden utilizarse para el descifrado, pero solo el certificado de descifrado de token principal se publica en los metadatos de federación. Todos los certificados que selecciones deben tener su propia clave privada. Para más información, consulte Adición de un certificado de descifrado de tokens. |
Puedes solicitar e instalar un certificado SSL o un certificado de comunicación de servicios pidiendo un certificado de comunicación de servicios a través del complemento Microsoft Management Console (MMC) para IIS. Para información generalizada sobre el uso de certificados SSL, consulte Configuración de la Capa de sockets seguros en IIS 7.0 y Configuración de certificados de servidor en IIS 7.0.
Nota
En AD FS, puede cambiar el nivel del Algoritmo hash seguro (SHA) que se usa para las firmas digitales a SHA-1 o a SHA-256 (más seguro). AD FS no admite el uso de certificados con otros métodos de hash, como MD5 (el algoritmo hash predeterminado utilizado con la herramienta de línea de comandos Makecert.exe). Para tu seguridad, te recomendamos que utilices SHA-256 (establecido de manera predeterminada) para todas las firmas. Se aconseja el uso de SHA-1 solo en los casos en que se debe interoperar con un producto no compatible con las comunicaciones que usan SHA-256, como un producto que no sea de Microsoft o AD FS 1. x.
Determinar la estrategia de CA
AD FS no requiere que los certificados los emita una entidad de certificación (CA). No obstante, el certificado SSL (el certificado que también se usa de forma predeterminada como certificado de comunicación de servicios) debe ser de confianza para los clientes de AD FS. Recomendamos no utilizar certificados autofirmados para este tipo de certificados.
Importante
El uso de certificados SSL autofirmados en un entorno de producción puede permitir a un usuario malintencionado de una organización asociada de cuentas tomar el control de los servidores de federación de una organización asociada de recursos. Este riesgo de seguridad existe porque los certificados autofirmados son certificados raíz. Como deben agregarse al almacén raíz de confianza de otro servidor de federación (por ejemplo, el de recursos), el servidor puede quedar desprotegido frente a ataques.
Después de recibir un certificado de una CA, asegúrate de que todos los certificados se importen al almacén de certificados personales del equipo local. Puedes importar certificados al almacén personal con el complemento Certificados de MMC.
En lugar de utilizar el complemento Certificados, puedes importar el certificado SSL con el complemento Administrador de IIS en el momento de asignar el certificado SSL al sitio web predeterminado. Para obtener más información, consulte Importar un certificado de autenticación de servidor al sitio web predeterminado.
Nota
Antes de instalar el software de AD FS en el equipo que se convertirá en el servidor de federación, asegúrese de que ambos certificados se encuentren en el almacén de certificados personal del equipo local y de que el certificado SSL esté asignado al sitio web predeterminado. Para más información sobre el orden de las tareas necesarias para configurar un servidor de federación, consulte Lista de comprobación: Configuración de un servidor de federación.
Considera qué certificados se obtendrán de una CA pública y cuáles de una CA corporativa en función de tus requisitos de seguridad y de tu presupuesto. La siguiente imagen muestra los emisores de CA recomendados según el tipo de certificado. Esta sugerencia se basa en los procedimientos recomendados relativos a la seguridad y el coste.
Listas de revocación de certificados
Si un certificado que utilizas tiene listas de revocación de certificados (CRL), el servidor con el certificado configurado debe poder establecer contacto con el servidor que distribuye las CRL.