Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
I server federativi richiedono certificati di firma token per impedire agli utenti malintenzionati di modificare o falsificare i token di sicurezza nel tentativo di ottenere l'accesso non autorizzato alle risorse federate. L'associazione di chiavi private/pubbliche usata con i certificati di firma token è il meccanismo di convalida più importante di qualsiasi relazione federata perché queste chiavi verificano che un token di sicurezza sia stato emesso da un server federativo partner valido e che il token non sia stato modificato durante il transito.
Requisiti del certificato di firma del token
Un certificato di firma del token deve soddisfare i requisiti seguenti per l'uso con AD FS:
Affinché un certificato di firma del token firmi correttamente un token di sicurezza, il certificato di firma del token deve contenere una chiave privata.
L'account del servizio AD FS deve avere accesso alla chiave privata del certificato di firma token nell'archivio personale del computer locale. Questa operazione viene gestita dall'installazione. È anche possibile usare lo snap-in Gestione AD FS per garantire l'accesso se successivamente si modifica il certificato di firma del token.
Nota
Si tratta di una procedura consigliata per l'infrastruttura a chiave pubblica (PKI) per non condividere la chiave privata per più scopi. Pertanto, non usare il certificato di comunicazione del servizio installato nel server federativo come certificato di firma del token.
Modalità di utilizzo dei certificati di firma dei token tra partner
Ogni certificato di firma del token contiene chiavi private crittografiche e chiavi pubbliche usate per firmare digitalmente (tramite la chiave privata) un token di sicurezza. Successivamente, dopo essere stati ricevuti da un server federativo partner, queste chiavi convalidano l'autenticità (tramite la chiave pubblica) del token di sicurezza crittografato.
Poiché ogni token di sicurezza è firmato digitalmente dal partner account, il partner delle risorse può verificare che il token di sicurezza sia stato effettivamente emesso dal partner account e che non sia stato modificato. Le firme digitali vengono verificate dalla parte della chiave pubblica del certificato di firma del token di un partner. Dopo aver verificato la firma, il server federativo delle risorse genera il proprio token di sicurezza per l'organizzazione e firma il token di sicurezza con il proprio certificato di firma del token.
Per gli ambienti partner federati, quando il certificato di firma del token è stato emesso da una CA, bisogna assicurarsi che:
Gli elenchi di revoche di certificati (CRL) del certificato sono accessibili alle relying party e ai server Web che considerano attendibile il server federativo.
Il certificato CA radice è considerato attendibile dalle relying party e dai server Web che considerano attendibile il server federativo.
Il server Web nel partner risorse usa la chiave pubblica del certificato di firma del token per verificare che il token di sicurezza sia firmato dal server federativo delle risorse. Il server Web consente quindi l'accesso appropriato al client.
Considerazioni sulla distribuzione dei certificati per la firma dei token
Quando si distribuisce il primo server federativo in una nuova installazione di AD FS, è necessario ottenere un certificato di firma del token e installarlo nell'archivio certificati personali del computer locale in tale server federativo. È possibile ottenere un certificato di firma del token richiedendone uno a una CA aziendale o a una CA pubblica o creando un certificato autofirmante.
Una chiave privata da un certificato di firma di token viene condivisa tra tutti i server federativi in una farm.
In un ambiente server farm federativo è consigliabile che tutti i server federativi condividono (o riusano) lo stesso certificato di firma token. È possibile installare un singolo certificato di firma di token da una CA in un server federativo e quindi esportare la chiave privata, purché il certificato emesso sia contrassegnato come esportabile.
Come illustrato nella figura seguente, la chiave privata di un singolo certificato di firma di token può essere condivisa in tutti i server federativi in una farm. Questa opzione, rispetto all'opzione "certificato di firma token univoca" seguente, riduce i costi se si prevede di ottenere un certificato di firma del token da una CA pubblica.
Per informazioni sull'installazione di un certificato quando si usano Servizi certificati Microsoft come CA aziendale, vedere IIS 7.0: Creare un certificato del server di dominio in IIS 7.0.
Per informazioni sull'installazione di un certificato da una CA pubblica, vedere IIS 7.0: Richiedere un certificato del server Internet.
Per informazioni sull'installazione di un certificato autofirmato, vedere IIS 7.0: Creare un certificato server Self-Signed in IIS 7.0.