Sertifikat komunikasi layanan
Server federasi memerlukan penggunaan sertifikat komunikasi layanan untuk skenario di mana keamanan pesan WCF digunakan.
Persyaratan sertifikat komunikasi layanan
Sertifikat komunikasi layanan harus memenuhi persyaratan berikut untuk bekerja dengan Layanan Federasi Direktori Aktif:
Sertifikat komunikasi layanan harus menyertakan ekstensi penggunaan kunci yang ditingkatkan (EKU) autentikasi server.
Daftar pencabutan sertifikat (CRL) harus dapat diakses untuk semua sertifikat dalam rantai dari sertifikat komunikasi layanan ke sertifikat OS akar. Setiap proksi server federasi dan server Web yang mempercayai server federasi ini juga harus mempercayai OS akar.
Nama subjek yang digunakan dalam sertifikat komunikasi layanan harus cocok dengan nama Layanan Federasi di properti Layanan Federasi.
Pertimbangan penyebaran untuk sertifikat komunikasi layanan
Konfigurasikan sertifikat komunikasi layanan sehingga semua server federasi menggunakan sertifikat yang sama. Jika Anda menyebarkan desain Akses Menyeluruh (SSO) Web Federasi, kami sarankan CA publik mengeluarkan sertifikat komunikasi layanan Anda. Anda dapat meminta dan menginstal sertifikat ini melalui snap-in Manajer IIS.
Anda dapat menggunakan sertifikat komunikasi layanan yang ditandatangani sendiri dengan sukses di server federasi di lingkungan lab pengujian. Namun, untuk lingkungan produksi, kami sarankan Anda mendapatkan sertifikat komunikasi layanan dari CA publik.
Alasan mengapa Anda tidak boleh menggunakan sertifikat komunikasi layanan yang ditandatangani sendiri untuk penyebaran langsung meliputi:
Sertifikat SSL yang ditandatangani sendiri harus ditambahkan ke penyimpanan akar tepercaya di setiap server federasi di organisasi mitra sumber daya. Meskipun sertifikat yang ditandatangani sendiri tidak memungkinkan penyerang untuk membahayakan server federasi sumber daya, mempercayai sertifikat yang ditandatangani sendiri memang meningkatkan permukaan serangan komputer. Jika penanda tangan sertifikat tidak dapat dipercaya, penanda tangan sertifikat dapat menyebabkan kerentanan keamanan.
Sertifikat komunikasi layanan yang ditandatangani sendiri menciptakan pengalaman pengguna yang buruk. Klien menerima perintah Pemberitahuan Keamanan ketika mereka mencoba mengakses sumber daya federasi yang menampilkan pesan berikut: "Sertifikat keamanan dikeluarkan oleh perusahaan yang belum Anda pilih untuk dipercaya." Pesan ini diharapkan, karena sertifikat yang ditandatangani sendiri tidak tepercaya.
Catatan
Jika perlu, Anda dapat mengatasi kondisi ini dengan menggunakan Kebijakan Grup untuk menurunkan sertifikat yang ditandatangani sendiri secara manual ke penyimpanan akar tepercaya di setiap komputer klien yang mencoba mengakses situs Layanan Federasi Direktori Aktif.
CA menyediakan lebih banyak fitur berbasis sertifikat, seperti arsip kunci privat, perpanjangan, dan pencabutan yang tidak disediakan oleh sertifikat yang ditandatangani sendiri.
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk