Persyaratan Sertifikat untuk Server Federasi
Dalam desain Layanan Federasi Direktori Aktif (AD FS), berbagai sertifikat harus digunakan untuk mengamankan komunikasi dan memfasilitasi autentikasi pengguna antara klien Internet dan server federasi. Setiap server federasi harus memiliki sertifikat komunikasi layanan dan sertifikat penandatanganan token sebelum dapat berpartisipasi dalam komunikasi Layanan Federasi Direktori Aktif. Tabel berikut ini menjelaskan jenis sertifikat yang terkait dengan server federasi.
| Jenis sertifikat | Deskripsi |
|---|---|
| Sertifikat penandatanganan token | Sertifikat penandatanganan token adalah sertifikat X509. Server federasi menggunakan pasangan kunci publik/privat terkait untuk menandatangani semua token keamanan yang dihasilkan secara digital. Ini termasuk penandatanganan metadata federasi yang diterbitkan dan permintaan resolusi artefak. Anda dapat memiliki beberapa sertifikat penandatanganan token yang dikonfigurasi dalam snap-in Manajemen Layanan Federasi Direktori Aktif untuk memungkinkan rollover sertifikat saat satu sertifikat mendekati kedaluwarsa. Secara default, semua sertifikat dalam daftar diterbitkan, tetapi hanya sertifikat penandatanganan token utama yang digunakan oleh Ad FS untuk benar-benar menandatangani token. Semua sertifikat yang Anda pilih harus memiliki kunci privat yang sesuai. Untuk informasi selengkapnya, lihat Sertifikat Penandatanganan Token dan Menambahkan Sertifikat Penandatanganan Token. |
| Sertifikat komunikasi layanan | Server federasi menggunakan sertifikat autentikasi server, juga dikenal sebagai komunikasi layanan untuk Keamanan Pesan Windows Communication Foundation (WCF). Secara default, ini adalah sertifikat yang sama dengan yang digunakan server federasi sebagai sertifikat Secure Sockets Layer (SSL) di Layanan Informasi Internet (IIS). Catatan: Snap-in Manajemen Layanan Federasi Direktori Aktif mengacu pada sertifikat autentikasi server untuk server federasi sebagai sertifikat komunikasi layanan. Untuk informasi selengkapnya, lihat Sertifikat Komunikasi Layanan dan Mengatur Sertifikat Komunikasi Layanan. Karena sertifikat komunikasi layanan harus dipercaya oleh komputer klien, kami sarankan Anda menggunakan sertifikat yang ditandatangani oleh otoritas sertifikasi tepercaya (CA). Semua sertifikat yang Anda pilih harus memiliki kunci privat yang sesuai. |
| Sertifikat Secure Sockets Layer (SSL) | Server federasi menggunakan sertifikat SSL untuk mengamankan lalu lintas layanan Web untuk komunikasi SSL dengan klien Web dan dengan proksi server federasi. Karena sertifikat SSL harus dipercaya oleh komputer klien, kami sarankan Anda menggunakan sertifikat yang ditandatangani oleh CA tepercaya. Semua sertifikat yang Anda pilih harus memiliki kunci privat yang sesuai. |
| Sertifikat dekripsi token | Sertifikat ini digunakan untuk mendekripsi token yang diterima oleh server federasi ini. Anda dapat memiliki beberapa sertifikat dekripsi. Ini memungkinkan server federasi sumber daya untuk dapat mendekripsi token yang dikeluarkan dengan sertifikat yang lebih lama setelah sertifikat baru ditetapkan sebagai sertifikat dekripsi utama. Semua sertifikat dapat digunakan untuk dekripsi, tetapi hanya sertifikat dekripsi token utama yang benar-benar diterbitkan dalam metadata federasi. Semua sertifikat yang Anda pilih harus memiliki kunci privat yang sesuai. Untuk informasi selengkapnya, lihat Menambahkan Sertifikat Dekripsi Token. |
Anda dapat meminta dan menginstal sertifikat SSL atau sertifikat komunikasi layanan dengan meminta sertifikat komunikasi layanan melalui snap-in Konsol Manajemen Microsoft (MMC) untuk IIS. Untuk informasi umum selengkapnya tentang menggunakan sertifikat SSL, lihat IIS 7.0: Mengonfigurasi Lapisan Soket Aman di IIS 7.0 dan IIS 7.0: Mengonfigurasi Sertifikat Server di IIS 7.0 .
Catatan
Di Layanan Federasi Direktori Aktif, Anda dapat mengubah tingkat Algoritma Hash Aman (SHA) yang digunakan untuk tanda tangan digital menjadi SHA-1 atau SHA-256 (lebih aman). Ad FSdoes tidak mendukung penggunaan sertifikat dengan metode hash lain, seperti MD5 (algoritma hash default yang digunakan dengan alat baris perintah Makecert.exe). Sebagai praktik terbaik keamanan, kami sarankan Anda menggunakan SHA-256 (yang diatur secara default) untuk semua tanda tangan. SHA-1 direkomendasikan untuk digunakan hanya dalam skenario di mana Anda harus beroperasi dengan produk yang tidak mendukung komunikasi menggunakan SHA-256, seperti produk non-Microsoft atau LAYANAN Federasi Direktori Aktif 1. x.
Menentukan strategi CA Anda
Layanan Federasi Direktori Aktif tidak mengharuskan sertifikat dikeluarkan oleh CA. Namun, sertifikat SSL (sertifikat yang juga digunakan secara default sebagai sertifikat komunikasi layanan) harus dipercaya oleh klien Layanan Federasi Direktori Aktif. Kami menyarankan agar Anda tidak menggunakan sertifikat yang ditandatangani sendiri untuk jenis sertifikat ini.
Penting
Penggunaan sertifikat SSL yang ditandatangani sendiri di lingkungan produksi dapat memungkinkan pengguna berbahaya di organisasi mitra akun untuk mengambil kendali atas server federasi di organisasi mitra sumber daya. Risiko keamanan ini ada karena sertifikat yang ditandatangani sendiri adalah sertifikat akar. Mereka harus ditambahkan ke penyimpanan akar tepercaya dari server federasi lain (misalnya, server federasi sumber daya), yang dapat membuat server tersebut rentan terhadap serangan.
Setelah Anda menerima sertifikat dari CA, pastikan bahwa semua sertifikat diimpor ke penyimpanan sertifikat pribadi komputer lokal. Anda dapat mengimpor sertifikat ke penyimpanan pribadi dengan snap-in MMC Sertifikat.
Sebagai alternatif untuk menggunakan snap-in Sertifikat, Anda juga dapat mengimpor sertifikat SSL dengan snap-in Manajer IIS pada saat Anda menetapkan sertifikat SSL ke situs Web default. Untuk informasi selengkapnya, lihat Mengimpor Sertifikat Autentikasi Server ke Situs Web Default.
Catatan
Sebelum Anda menginstal perangkat lunak Layanan Federasi Direktori Aktif di komputer yang akan menjadi server federasi, pastikan kedua sertifikat berada di penyimpanan sertifikat pribadi Komputer Lokal dan bahwa sertifikat SSL ditetapkan ke Situs Web Default. Untuk informasi selengkapnya tentang urutan tugas yang diperlukan untuk menyiapkan server federasi, lihat Daftar Periksa: Menyiapkan Server Federasi.
Tergantung pada persyaratan keamanan dan anggaran Anda, pertimbangkan dengan cermat sertifikat mana yang akan diperoleh oleh CA publik atau CA perusahaan. Gambar berikut menunjukkan penerbit CA yang direkomendasikan untuk jenis sertifikat tertentu. Rekomendasi ini mencerminkan pendekatan praktik terbaik mengenai keamanan dan biaya.
Daftar pencabutan sertifikat
Jika ada sertifikat yang Anda gunakan memiliki CRL, server dengan sertifikat yang dikonfigurasi harus dapat menghubungi server yang mendistribusikan CRL.
Lihat Juga
Panduan Desain Layanan Federasi Direktori Aktif di Windows Server 2012
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk