Requisitos de certificado para servidores de federação
Em todos os designs de Serviços de Federação do Active Directory (AD FS), será necessário usar vários certificados para proteger a comunicação e facilitar as autenticações de usuários entre os clientes da Internet e os servidores de federação. É necessário que cada servidor de federação tenha um certificado de comunicação de serviço e um certificado de autenticação de tokens para poder participar das comunicações do AD FS. A tabela a seguir descreve os tipos de certificado associados ao servidor de federação.
| Tipo de certificado | Descrição |
|---|---|
| Certificado de autenticação de tokens | Um certificado de autenticação de tokens é um certificado X509. Servidores de federação usam pares de chave pública/privada para assinar digitalmente todos os tokens de segurança que produzem. Isso inclui a assinatura de metadados de federação publicados e solicitações de resolução de artefato. É possível ter vários certificados de assinatura de token configurados no snap-in Gerenciamento do AD FS para permitir a substituição do certificado quando um certificado estiver prestes a expirar. Por padrão, todos os certificados na lista são publicados, mas apenas o certificado de autenticação de tokens principal é usado pelo AD FS para realmente autenticar tokens. Todos os certificados que você selecionar devem ter uma chave privada correspondente. Para mais informações, consulte Certificados de autenticação de tokens e Adicionar um certificado de autenticação de token. |
| Certificado de comunicação de serviço | Os servidores de federação usam um certificado de autenticação de servidor, também conhecido como uma comunicação de serviços para segurança de mensagens do WCF (Windows Communication Foundation). Por padrão, esse é o mesmo certificado que um servidor de federação usa como o certificado SSL (protocolo SSL) nos IIS (Serviços de Informações da Internet). Observação: o snap-in Gerenciamento do AD FS refere-se a certificados de autenticação de servidor para servidores de federação como certificados de comunicação de serviço. Para obter mais informações, consulte Certificados de comunicações de serviço e Definir um certificado de comunicações de serviço. Como o certificado de comunicação de serviço deve ser confiável para os computadores cliente, recomendamos que você use um certificado assinado por uma AC (Autoridade de Certificação) confiável. Todos os certificados que você selecionar devem ter uma chave privada correspondente. |
| Certificado SSL | Os servidores de federação usam um certificado SSL para proteger o tráfego de serviços Web para comunicação SSL com os clientes Web e com proxies de servidor de federação. Como o certificado SSL deve ser confiável para os computadores cliente, recomendamos que você use um certificado assinado por uma AC confiável. Todos os certificados que você selecionar devem ter uma chave privada correspondente. |
| Certificado de descriptografia de token | Este certificado é usado para descriptografar tokens recebidos por esse servidor de federação. Você pode ter vários certificados de descriptografia. Isso possibilita que um servidor de federação de recursos possa descriptografar tokens emitidos com um certificado mais antigo depois que um novo certificado é definido como o certificado de descriptografia primário. Todos os certificados podem ser usados para descriptografia, mas apenas o certificado de descriptografia de token primário é realmente publicado nos metadados da federação. Todos os certificados que você selecionar devem ter uma chave privada correspondente. Para obter mais informações, consulte Adicionar um certificado de descriptografia de token. |
Você pode solicitar e instalar um certificado SSL ou um certificado de comunicação de serviço solicitando-os através do snap-in de MMC (Console de Gerenciamento Microsoft ) para IIS. Para obter mais informações gerais sobre o uso de certificados SSL, consulte IIS 7.0: configurar protocolo SSL no IIS 7.0 e IIS 7.0: configurar certificados de servidor no IIS 7.0 .
Observação
No AD FS, você poderá alterar o nível de SHA (Secure Hash Algorithm) usado para assinaturas digitais para SHA-1 ou SHA-256 (mais seguro). O AD FS não dá suporte para uso de certificados com outros métodos de hash como MD5 (o algoritmo de hash padrão usado com a ferramenta de linha de comando Makecert.exe). Como melhor prática de segurança, recomendamos que você use o SHA-256 (que é definido por padrão) em todas as assinaturas. O SHA-1 é recomendado apenas para uso em situações em que você deve interoperar com um produto que não dá suporte a comunicações usando SHA-256, como um produto não Microsoft ou AD FS 1. x.
Determinando sua estratégia de AC
O AD FS não exige que os certificados sejam emitidos por uma AC. No entanto, o certificado SSL (o certificado que também é usado por padrão como o certificado de comunicações de serviço) deverá ser confiável para os clientes do AD FS. Recomendamos que você não use certificados autoassinados para esses tipos de certificado.
Importante
Usar certificados SSL autoassinados em um ambiente de produção poderá permitir que um usuário mal-intencionado em uma organização de parceiro de conta assuma o controle de servidores de federação em uma organização de parceiro de recurso. Esse risco de segurança existe, pois os certificados autoassinados são os certificados raiz. Eles deverão ser adicionados ao repositório raiz confiável de outro servidor de federação (por exemplo, o servidor de federação de recurso), o que poderá deixar esse servidor vulnerável a ataques.
Depois de receber um certificado de uma AC, certifique-se de que todos os certificados sejam importados para o repositório de certificados pessoais do computador local. Você pode importar certificados para o repositório pessoal com o snap-in do MMC de certificados.
Como uma alternativa ao uso do snap-in de Certificados, você também pode importar o certificado SSL com o snap-in do gerenciador do IIS no momento em que atribui o certificado SSL ao site da Web padrão. Para obter mais informações, consulte Importar um certificado de autenticação de servidor para o site padrão.
Observação
Antes de instalar o software do AD FS no computador que se tornará o servidor de federação, verifique se ambos os certificados estão no repositório de certificados pessoal do computador local e se o certificado SSL está atribuído ao site padrão. Para obter mais informações sobre a ordem das tarefas necessárias para configurar um servidor de federação, consulte Lista de verificação: configurar um servidor de federação.
Dependendo de suas necessidades de segurança e orçamento, considere cuidadosamente quais dos certificados serão obtidos por uma AC pública ou uma AC corporativa. A figura a seguir mostra os emissores de AC recomendados para um determinado tipo de certificado. Essa recomendação reflete uma abordagem de melhores práticas em matéria de segurança e custo.
Listas de certificados revogados
Se qualquer certificado que você usa tiver CRLs, o servidor com o certificado configurado deve ser capaz de contatar o servidor que distribui CRLs.