토큰 서명 인증서
페더레이션 서버에는 공격자가 페더레이션된 리소스에 무단으로 액세스하려고 할 때 보안 토큰을 변경하거나 위조하는 것을 막기 위한 토큰 서명 인증서가 있어야 합니다. 토큰 서명 인증서와 함께 사용되는 프라이빗/공개 키 쌍은 유효한 파트너 페더레이션 서버에서 보안 토큰을 발급했으며, 이동 중에 토큰이 수정되지 않았음을 이러한 키가 확인하기 때문에 페더레이션된 파트너십 중에서 가장 중요한 유효성 검증 메커니즘입니다.
토큰 서명 인증서 요구 사항
토큰 서명 인증서는 AD FS와 연동하는 다음 요구 사항을 충족 해야 합니다.
토큰 서명 인증서가 보안 토큰을 성공적으로 서명하려면 토큰 서명 인증서에 프라이빗 키가 포함되어야 합니다.
AD FS 서비스 계정은 로컬 컴퓨터의 개인 저장소에 있는 토큰 서명 인증서의 프라이빗 키에 액세스할 수 있어야 합니다. 이 알아서 설치 합니다. 추후에 토큰 서명 인증서를 변경하는 경우에 AD FS 관리 스냅인을 사용하여 이 액세스를 확인할 수도 있습니다.
참고 항목
프라이빗 키를 여러 목적으로 공유하지 않는 것이 공개 키 인프라(PKI) 모범 사례입니다. 따라서 페더레이션 서버에 토큰 서명 인증서로 설치한 서비스 통신 인증서는 사용하지 마세요.
파트너 간에 토큰 서명 인증서가 사용되는 방식
모든 토큰 서명 인증서에는 보안 토큰의 디지털 서명에 사용되는(프라이빗 키의 수단) 암호화 프라이빗 키 및 공개 키가 포함됩니다. 나중에 파트너 페더레이션 서버에서 이러한 키를 받은 후 암호화된 보안 토큰의 신뢰성(공개 키를 통해)의 유효성을 확인합니다.
각 보안 토큰의 디지털 서명을 하는 계정 파트너, 때문에 리소스 파트너는 계정 파트너에서 실제로 보안 토큰을 발행 하 고 수정 되지 않았는지 확인할 수 있습니다. 디지털 서명은 파트너의 토큰 서명 인증서에서 공개 키 부분으로 확인됩니다. 서명이 확인되면 리소스 페더레이션 서버가 자체 조직의 자체 보안 토큰을 생성하고 자체 토큰 서명 인증서로 보안 토큰에 서명합니다.
페더레이션 파트너 환경의 경우 토큰 서명 인증서가 CA에서 발급된 경우에는 다음을 확인합니다.
페더레이션 서버를 신뢰하는 신뢰 당사자와 웹 서버에 인증서의 인증서 해지 목록(CRL)이 엑세스할 수 있음
루트 CA 인증서는 신뢰 당사자 및 페더레이션 서버를 신뢰 하는 웹 서버에서 신뢰지 않습니다.
리소스 파트너의 웹 서버에서 토컨 서명 인증서의 공개 키를 사용하여 보안 토큰이 리소스 페더레이션 서버가 서명한 것인지 확인 웹 서버는 다음 클라이언트에 대 한 적절 한 액세스를 허용합니다.
토큰 서명 인증서의 배포 고려 사항
새 AD FS 설치에서 첫 번째 페더레이션 서버를 배치할 때는 토큰 서명 인증서를 획득하고 이를 해당 페더레이션 서버의 로컬 컴퓨터 개인 인증서 저장소에 설치해야 합니다. 엔터프라이즈 CA 또는 공용 CA에 요청하거나 자체 서명 인증서를 만들어 토큰 서명 인증서를 획득할 수 있습니다.
토큰 서명 인증서 하나의 프라이빗 키를 팜의 모든 페더레이션 서버에서 공유합니다.
페더레이션 서버 팜 환경에서는 모든 페더레이션 서버가 동일한 토큰 서명 인증서를 공유(또는 재사용)하는 것이 좋습니다. CA의 단일 토큰 서명 인증서를 페더레이션 서버에 설치한 후에 발급된 인증서에 내보내기 가능 표시를 하여 프라이빗 키를 내보낼 수 있습니다.
다음 그림처럼 단일 토큰 서명 인증서의 프라이빗 키를 팜의 모든 페더레이션 서버와 공유할 수 있습니다. 공공 CA에서 토큰 서명 인증서를 획득할 계획이라면 이 옵션이 다음 "고유한 토큰 서명 인증서" 옵션에 비해 비용이 절감됩니다.
Microsoft 인증서 서비스를 사용 하 여 엔터프라이즈 CA로 인증서를 설치 하는 방법에 대 한 정보를 참조 하십시오. IIS 7.0: IIS 7.0에서 도메인 서버 인증서를 만들어합니다.
공용 CA에서 인증서를 설치 하는 방법에 대 한 정보를 참조 하십시오. IIS 7.0: 인터넷 서버 인증서 요청합니다.
자체 서명 인증서를 설치하는 방법은 IIS 7.0: IIS 7.0에 자체 서명 서버 인증서 만들기를 참조하세요.