Partager via

Certificat de signature de jetons

  • Article

Les serveurs de fédération nécessitent des certificats de signature de jetons pour empêcher des personnes malveillantes de modifier ou de falsifier les jetons de sécurité dans le but d’obtenir un accès non autorisé aux ressources fédérées. Le jumelage de clés privées/publiques utilisé avec les certificats de signature de jeton est le mécanisme de validation le plus important de tout partenariat fédéré, car ces clés vérifient qu’un jeton de sécurité a été émis par un serveur de fédération partenaire valide et que le jeton n’a pas été modifié pendant le transit.

Conditions requises pour les certificats de signature de jetons

Un certificat de signature de jeton doit répondre aux exigences suivantes pour fonctionner avec AD FS :

  • Pour qu’un certificat de signature de jeton signe avec succès un jeton de sécurité, le certificat de signature de jeton doit contenir une clé privée.

  • Le compte de service AD FS doit avoir accès à la clé privée du certificat de signature de jeton dans le magasin personnel de l’ordinateur local. Cette opération est prise en charge par le programme d’installation. Vous pouvez également utiliser le composant logiciel enfichable Gestion AD FS pour garantir cet accès si vous modifiez par la suite le certificat de signature de jeton.

Notes

Il s’agit d’une meilleure pratique d’infrastructure de clé publique de ne pas partager la clé privée à plusieurs fins. Par conséquent, n’utilisez pas le certificat de communication de service que vous avez installé sur le serveur de fédération comme certificat de signature de jeton.

Comment les certificats de signature de jeton sont utilisés entre les partenaires

Chaque certificat de signature de jeton contient des clés privées et des clés publiques de chiffrement utilisées pour signer numériquement (au moyen de la clé privée) un jeton de sécurité. Plus tard, après leur réception par un serveur de fédération partenaire, ces clés valident l’authenticité (au moyen de la clé publique) du jeton de sécurité chiffré.

Étant donné que chaque jeton de sécurité est signé numériquement par le partenaire de compte, le partenaire de ressource peut vérifier que le jeton de sécurité a bien été émis par le partenaire de compte et qu’il n’a pas été modifié. Les signatures numériques sont vérifiées par la partie clé publique du certificat de signature de jeton du partenaire. Une fois la signature vérifiée, le serveur de fédération de ressources génère son propre jeton de sécurité pour son organisation et signe le jeton de sécurité avec son propre certificat de signature de jeton.

Pour les environnements partenaires de fédération, lorsque le certificat de signature de jeton a été émis par une autorité de certification, vérifiez que :

  1. Les listes de révocation de certificats (CRL) du certificat sont accessibles aux parties de confiance et aux serveurs web qui approuvent le serveur de fédération.

  2. Le certificat d’autorité de certification racine est approuvé par les parties de confiance et les serveurs web qui approuvent le serveur de fédération.

Le serveur web dans le partenaire de ressource utilise la clé publique du certificat de signature de jeton pour vérifier que le jeton de sécurité est signé par le serveur de fédération de ressources. Le serveur web autorise ensuite l’accès approprié au client.

Considérations relatives au déploiement des certificats de signature de jetons

Lorsque vous déployez le premier serveur de fédération dans une nouvelle installation AD FS, vous devez obtenir un certificat de signature de jeton et l’installer dans le magasin de certificats personnel de l’ordinateur local sur ce serveur de fédération. Vous pouvez obtenir un certificat de signature de jeton en demandant un certificat auprès d’une autorité de certification d’entreprise ou d’une autorité de certification publique ou en créant un certificat auto-signé.

  • Une clé privée d’un certificat de signature de jeton est partagée entre tous les serveurs de fédération d’une batterie de serveurs.

    Dans un environnement de batterie de serveurs de fédération, nous recommandons que tous les serveurs de fédération partagent (ou réutilisent) le même certificat de signature de jeton. Vous pouvez installer un certificat de signature de jeton unique à partir d’une autorité de certification sur un serveur de fédération, puis exporter la clé privée, tant que le certificat émis est marqué comme exportable.

    Comme le montre l’illustration suivante, la clé privée d’un certificat de signature de jeton unique peut être partagée avec tous les serveurs de fédération d’une batterie de serveurs. Cette option, par rapport à l’option « certificat de signature de jeton unique », réduit les coûts si vous envisagez d’obtenir un certificat de signature de jeton auprès d’une autorité de certification publique.

    Illustration that shows the private key from a single token-signing certificate can be shared to all the federation servers in a farm.

Pour plus d’informations sur l’installation d’un certificat lorsque vous utilisez Microsoft Certificate Services comme autorité de certification d’entreprise, consultez IIS 7.0 :Create a Domain Server Certificate in IIS 7.

Pour plus d’informations sur l’installation d’un certificat à partir d’une autorité de certification publique, consultez IIS 7.0: Request an Internet Server Certificate.

Pour plus d’informations sur l’installation d’un certificat auto-signé, consultez IIS 7.0: Create a Self-Signed Server Certificate in IIS 7.0.

Voir aussi

Guide de conception AD FS dans Windows Server 2012