Condividi tramite

Certificati per la firma di token

  • Articolo

I server federativi richiedono certificati per la firma di token per impedire agli utenti malintenzionati di modificare o contraffare i token di sicurezza nel tentativo di ottenere l'accesso non autorizzato alle risorse federate. L'associazione di chiavi private/pubbliche usata con i certificati per la firma di token è il meccanismo di convalida più importante di qualsiasi relazione federata perché queste chiavi verificano che un token di sicurezza sia stato emesso da un server federativo partner valido e che il token non sia stato modificato durante il transito.

Requisiti del certificato per la firma di token

Un certificato per la firma di token deve soddisfare i requisiti seguenti per l'uso con AD FS:

  • Affinché un certificato per la firma di token firmi correttamente un token di sicurezza, il certificato per la firma di token deve contenere una chiave privata.

  • L'account del servizio AD FS deve avere accesso alla chiave privata del certificato per la firma di token nell'archivio personale del computer locale. Questo viene preso in considerazione dal programma di installazione. È anche possibile usare lo snap-in Gestione AD FS per garantire l'accesso se successivamente si modifica il certificato per la firma di token.

Nota

Una procedura consigliata per l'infrastruttura a chiave pubblica (PKI) consiste nel non condividere la chiave privata per più scopi. Pertanto, non usare il certificato per le comunicazione dei servizi installato nel server federativo come certificato per la firma di token.

Modalità di utilizzo dei certificati per la firma di token tra partner

Ogni certificato per la firma di token contiene chiavi private di crittografia e chiavi pubbliche che vengono usate per firmare digitalmente, tramite la chiave privata, un token di sicurezza. In un secondo momento, dopo la ricezione da parte di un server federativo partner, queste chiavi convalidano l'autenticità, tramite la chiave pubblica, del token di sicurezza crittografato.

Poiché ogni token di sicurezza è firmato digitalmente da partner account, il partner risorse può verificare che il token di sicurezza è stato infatti rilasciato dal partner account e che sia stato modificato. Le firme digitali vengono verificate dalla parte della chiave pubblica del certificato per la firma di token di un partner. Dopo aver verificato la firma, il server federativo delle risorse genera il proprio token di sicurezza per l'organizzazione e firma il token di sicurezza con il proprio certificato per la firma di token.

Per gli ambienti partner federativi, quando il certificato per la firma di token è stato emesso da un'autorità di certificazione, assicurarsi che:

  1. Gli elenchi di revoche di certificati (CRL) del certificato siano accessibili alle relying party e ai server Web che considerano attendibile il server federativo.

  2. Il certificato CA radice attendibile dal server Web che considera attendibile il server federativo e relying party.

Il server Web nel partner risorse usa la chiave pubblica del certificato per la firma di token per verificare che il token di sicurezza sia firmato dal server federativo delle risorse. Il server Web quindi consente l'accesso appropriato al client.

Considerazioni sulla distribuzione per i certificati per la firma di token

Quando si distribuisce il primo server federativo in una nuova installazione di AD FS, è necessario ottenere un certificato per la firma di token e installarlo nell'archivio certificati personali del computer locale in tale server federativo. È possibile ottenere un certificato per la firma di token richiedendone uno da un'autorità di certificazione aziendale o da un'autorità di certificazione pubblica o creando un certificato autofirmato.

  • Una chiave privata da un certificato per la firma di token viene condivisa tra tutti i server federativi in una farm.

    In un ambiente server farm federativo è consigliabile che tutti i server federativi condividano o riutilizzino lo stesso certificato per la firma di token. È possibile installare un singolo certificato per la firma di token da un'autorità di certificazione in un server federativo e quindi esportare la chiave privata, purché il certificato emesso sia contrassegnato come esportabile.

    Come illustrato nella figura seguente, la chiave privata di un singolo certificato per la firma di token può essere condivisa in tutti i server federativi in una farm. Rispetto all'opzione "certificato per la firma di token univoco" seguente, questa opzione riduce i costi se si prevede di ottenere un certificato per la firma di token da un'autorità di certificazione pubblica.

    Illustration that shows the private key from a single token-signing certificate can be shared to all the federation servers in a farm.

Per informazioni sull'installazione di un certificato quando si utilizza Microsoft Certificate Services come CA dell'organizzazione, vedere IIS 7.0: creare un certificato del Server di dominio in IIS 7.0.

Per informazioni sull'installazione di un certificato da una CA pubblica, vedere IIS 7.0: richiedere un certificato del Server Internet.

Per informazioni sull'installazione di un certificato autofirmato, vedere IIS 7.0: Creare un certificato server autofirmato in IIS 7.0.

Vedi anche

Guida alla progettazione di AD FS in Windows Server 2012