Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Dans toute conception des services de fédération Active Directory (AD FS), différents certificats doivent être utilisés pour sécuriser la communication et faciliter les authentifications utilisateur entre les clients Internet et les serveurs de fédération. Chaque serveur de fédération doit avoir un certificat de communication de service et un certificat de signature de jeton avant de pouvoir participer aux communications AD FS. Le tableau suivant décrit les types de certificats associés au serveur de fédération.
| Type de certificat | Description |
|---|---|
| Certificat de signature de jetons | Un certificat de signature de jeton est un certificat X509. Les serveurs de fédération utilisent des paires de clés publiques/privées associées pour signer numériquement tous les jetons de sécurité qu’ils produisent. Cela inclut la signature des demandes de métadonnées de fédération et de résolution d'artefacts publiées. Vous pouvez configurer plusieurs certificats de signature de jetons dans le composant logiciel enfichable de gestion AD FS pour autoriser la substitution de certificat quand un certificat est sur le point d'expirer. Par défaut, tous les certificats de la liste sont publiés, mais seul le certificat de signature de jeton principal est utilisé par AD FS pour signer réellement des jetons. Tous les certificats que vous sélectionnez doivent posséder une clé privée correspondante. Pour plus d’informations, consultez Token-Signing Certificats et ajouter un certificat Token-Signing. |
| Certificat de communication du service | Les serveurs de fédération utilisent un certificat d’authentification de serveur, également appelé communication de service pour la sécurité des messages Windows Communication Foundation (WCF). Par défaut, il s’agit du même certificat qu’un serveur de fédération utilise comme certificat SSL (Secure Sockets Layer) dans Internet Information Services (IIS).
Note : Le module de gestion AD FS désigne les certificats d'authentification serveur pour les serveurs de fédération comme certificats de communication de service. Pour plus d’informations, consultez Certificats de communications de service et définir un certificat de communication de service. Étant donné que le certificat de communication de service doit être approuvé par les ordinateurs clients, nous vous recommandons d’utiliser un certificat signé par une autorité de certification approuvée. Tous les certificats que vous sélectionnez doivent posséder une clé privée correspondante. |
| Certificat SSL (Secure Sockets Layer) | Les serveurs de fédération utilisent un certificat SSL pour sécuriser le trafic des services Web pour la communication SSL avec les clients web et les proxys de serveur de fédération. Étant donné que le certificat SSL doit être approuvé par les ordinateurs clients, nous vous recommandons d'utiliser un certificat signé par une autorité de certification approuvée. Tous les certificats que vous sélectionnez doivent posséder une clé privée correspondante. |
| Certificat de déchiffrement de jeton | Ce certificat est utilisé pour déchiffrer les jetons reçus par ce serveur de fédération. Vous pouvez avoir plusieurs certificats de déchiffrement. Cela permet à un serveur de fédération de ressources de pouvoir déchiffrer les jetons émis avec un certificat plus ancien une fois qu’un nouveau certificat est défini comme certificat de déchiffrement principal. Tous les certificats peuvent être utilisés pour le déchiffrement, mais seul le certificat de déchiffrement de jeton principal est réellement publié dans les métadonnées de fédération. Tous les certificats que vous sélectionnez doivent posséder une clé privée correspondante. Pour plus d’informations, consultez Ajouter un certificat Token-Decrypting. |
Vous pouvez demander et installer un certificat SSL ou un certificat de communication du service en demandant un certificat de communication du service par le biais du composant logiciel enfichable Microsoft Management Console (MMC) pour IIS. Pour plus d’informations générales sur l’utilisation de certificats SSL, consultez IIS 7.0 : Configuration de la couche Sockets sécurisés dans IIS 7.0 et IIS 7.0 : Configuration des certificats de serveur dans IIS 7.0 .
Note
Dans AD FS, vous pouvez modifier le niveau SHA (Secure Hash Algorithm) utilisé pour les signatures numériques en SHA-1 ou SHA-256 (plus sécurisé). AD FSdoes ne prend pas en charge l’utilisation de certificats avec d’autres méthodes de hachage, telles que MD5 (algorithme de hachage par défaut utilisé avec l’outil en ligne de commande Makecert.exe). Comme meilleure pratique de sécurité, nous vous recommandons d’utiliser SHA-256 (qui est défini par défaut) pour toutes les signatures. SHA-1 est recommandé pour une utilisation uniquement dans les scénarios dans lesquels vous devez interagir avec un produit qui ne prend pas en charge les communications à l’aide de SHA-256, comme un produit non-Microsoft ou AD FS 1. x.
Détermination de votre stratégie d’autorité de certification
AD FS ne nécessite pas que les certificats soient émis par une autorité de certification. Toutefois, le certificat SSL (le certificat utilisé par défaut comme certificat de communication de service) doit être approuvé par les clients AD FS. Nous vous recommandons de ne pas utiliser de certificats auto-signés pour ces types de certificats.
Important
L’utilisation de certificats SSL auto-signés dans un environnement de production peut permettre à un utilisateur malveillant dans une organisation partenaire de compte de prendre le contrôle des serveurs de fédération dans une organisation partenaire de ressource. Ce risque de sécurité existe, car les certificats auto-signés sont des certificats racines. Ils doivent être ajoutés au magasin racine approuvé d’un autre serveur de fédération (par exemple, le serveur de fédération de ressources), ce qui peut laisser ce serveur vulnérable aux attaques.
Après avoir reçu un certificat d’une autorité de certification, vérifiez que tous les certificats sont importés dans le magasin de certificats personnel de l’ordinateur local. Vous pouvez importer des certificats dans le magasin personnel à l'aide du composant logiciel enfichable Certificats de la console MMC.
Comme alternative à l'utilisation du composant logiciel enfichable Certificats, vous pouvez également importer le certificat SSL avec le composant logiciel enfichable IIS Manager lors de l'affectation du certificat SSL au Site Web par défaut. Pour plus d’informations, consultez Importer un certificat d’authentification serveur sur le site web par défaut.
Note
Avant d’installer le logiciel AD FS sur l’ordinateur qui deviendra le serveur de fédération, assurez-vous que les deux certificats se trouvent dans le magasin de certificats personnels de l’ordinateur local et que le certificat SSL est affecté au site web par défaut. Pour plus d’informations sur l’ordre des tâches requises pour configurer un serveur de fédération, consultez Liste de vérification : Configuration d’un serveur de fédération.
Selon vos besoins en matière de sécurité et de budget, tenez compte soigneusement des certificats obtenus par une autorité de certification publique ou une autorité de certification d’entreprise. La figure suivante montre les émetteurs d’autorité de certification recommandés pour un type de certificat donné. Cette recommandation reflète une approche recommandée concernant la sécurité et le coût.
Listes de révocation de certificat
Si un certificat que vous utilisez comporte des LISTES de révocation de certificats, le serveur avec le certificat configuré doit être en mesure de contacter le serveur qui distribue les listes de révocation de certificats.