Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Un servidor de federación requiere el uso de certificados de comunicación de servicio para escenarios en los que se usa la seguridad de mensajes WCF.
Requisitos del certificado de comunicación de servicio
Los certificados de comunicación de servicio deben cumplir los siguientes requisitos para trabajar con AD FS:
El certificado de comunicación de servicio debe incluir la extensión de uso mejorado de clave (EKU) de la autenticación del servidor.
Las listas de revocación de certificados (CRL) deben ser accesibles para todos los certificados de la cadena desde el certificado de comunicación de servicio al certificado de entidad de certificación raíz. Cualquier servidor proxy de federación y servidores web que confíen en este servidor de federación también debe confiar en la entidad de certificación raíz.
El nombre del firmante que se usa en el certificado de comunicación de servicio debe coincidir con el nombre del servicio de federación en las propiedades del servicio de federación.
Consideraciones de implementación para certificados de comunicación de servicio
Configure certificados de comunicación de servicio para que todos los servidores de federación usen el mismo certificado. Si va a implementar el diseño de inicio de sesión único (SSO) web federado, se recomienda que una CA pública emita el certificado de comunicación de servicio. Puede solicitar e instalar estos certificados mediante el complemento Administrador de IIS.
Puede usar correctamente certificados autofirmados para la comunicación de servicios en servidores de federación en un entorno de laboratorio de pruebas. Sin embargo, para un entorno de producción, se recomienda obtener certificados de comunicación de servicio de una entidad de certificación pública.
Entre las razones por las que no debe usar certificados de comunicación de servicio autofirmados para una implementación activa se incluyen:
Se debe agregar un certificado SSL autofirmado al almacén raíz de certificados de confianza en cada uno de los servidores de federación de la organización asociada de recursos. Aunque solo un certificado autofirmado no permite a un atacante poner en peligro un servidor de federación de recursos, confiar en certificados autofirmados aumenta la superficie expuesta a ataques de un equipo. Si el firmante de certificados no es de confianza, puede provocar vulnerabilidades de seguridad.
Un certificado de comunicación de servicio autofirmado crea una experiencia de usuario incorrecta. Los clientes reciben avisos de alerta de seguridad cuando intentan acceder a los recursos federados que muestran el siguiente mensaje: "El certificado de seguridad fue emitido por una empresa en la que no ha elegido confiar". Se espera este mensaje, ya que el certificado autofirmado no es de confianza.
Note
Si es necesario, puede solucionar esta condición mediante una directiva de grupo para insertar manualmente el certificado autofirmado en el almacén raíz de confianza en cada equipo cliente que intente acceder a un sitio de AD FS.
Las CA proporcionan más características basadas en certificados, como el archivo de claves privada, la renovación y la revocación que no proporcionan los certificados autofirmados.