서비스 통신 인증서

페더레이션 서버는 WCF 메시지 보안이 사용되는 시나리오에서 서비스 통신 인증서를 사용해야 합니다.

서비스 통신 인증서 요구 사항

AD FS를 사용하려면 서비스 통신 인증서가 다음 요구 사항을 충족해야 합니다.

• 서비스 통신 인증서에 서버 인증 EKU(고급 키 사용) 확장이 포함되어야 합니다.

• 서비스 통신 인증서에서 루트 CA 인증서까지의 체인에 있는 모든 인증서에 대해 CRL(인증서 해지 목록)에 액세스할 수 있어야 합니다. 이 페더레이션 서버를 신뢰하는 페더레이션 서버 프록시와 웹 서버도 루트 CA를 신뢰해야 합니다.

• 서비스 통신 인증서에 사용되는 주체 이름이 페더레이션 서비스의 속성에 있는 페더레이션 서비스 이름과 일치해야 합니다.

서비스 통신 인증서의 배포 고려 사항

모든 페더레이션 서버에서 동일한 인증서를 사용하도록 서비스 통신 인증서를 구성합니다. 페더레이션된 웹 SSO(Single Sign-On) 디자인을 배포하는 경우에는 공용 CA에서 서비스 통신 인증서를 발급하는 것이 좋습니다. IIS 관리자 스냅인으로 이러한 인증서를 요청하고 설치할 수 있습니다.

테스트 랩 환경의 페더레이션 서버에서 자체 서명된 서비스 통신 인증서를 성공적으로 사용할 수 있습니다. 단, 프로덕션 환경에서는 공용 CA에서 서비스 통신 인증서를 얻는 것이 좋습니다.

라이브 배포에 자체 서명된 서비스 통신 인증서를 사용하면 안 되는 이유는 다음과 같습니다.

• 자체 서명된 SSL 인증서를 리소스 파트너 조직의 각 페더레이션 서버에서 신뢰할 수 있는 루트 저장소에 추가해야 합니다. 자체 서명된 인증서만으로는 공격자가 리소스 페더레이션 서버를 손상시킬 수 없지만 자체 서명된 인증서를 신뢰하는 경우 컴퓨터의 공격 표면이 증가합니다. 인증서 서명자가 신뢰할 수 없으면 보안 취약성이 발생할 수 있습니다.

• 자체 서명된 서비스 통신 인증서가 잘못된 사용자 환경을 만듭니다. 클라이언트는 "신뢰하도록 선택하지 않은 회사에서 보안 인증서를 발급했습니다."라는 메시지를 표시하는 페더레이션된 리소스에 액세스하려고 할 때 보안 경고 프롬프트를 받습니다. 자체 서명된 인증서를 신뢰할 수 없어 이 메시지가 필요합니다.

  참고 항목

  필요한 경우, 그룹 정책을 사용하여 AD FS 사이트에 액세스하려는 각 클라이언트 컴퓨터의 신뢰할 수 있는 루트 저장소에 자체 서명된 인증서를 수동으로 푸시다운하여 이 조건을 해결할 수 있습니다.

• CA는 자체 서명된 인증서에서 제공하지 않는 프라이빗 키 보관, 갱신, 해지와 같은 더 많은 인증서 기반 기능을 제공합니다.