Поделиться через


Требования к сертификату для прокси-серверов федерации

Серверы, работающие в роли прокси-сервера федерации в службах федерации Active Directory (AD FS), должны использовать сертификаты проверки подлинности сервера SSL. Прокси-серверы федерации используют сертификаты проверки подлинности SSL-сервера для защиты общения трафика веб-серверов с веб-клиентами.

Прокси-серверы федерации обычно подвергаются воздействию компьютеров в сети Интернет, которые не включены в инфраструктуру открытых ключей предприятия (PKI). Поэтому используйте сертификат проверки подлинности сервера, выданный общедоступным центром сертификации (ЦС), например VeriSign.

Если у вас есть ферма прокси-серверов федерации, все компьютеры прокси-сервера федерации должны использовать один и тот же сертификат проверки подлинности сервера. Дополнительные сведения см. в разделе Когда создавать ферму прокси-сервера федерации.

Важно убедиться, что имя субъекта в сертификате аутентификации сервера соответствует значению имени Службы федерации, указанному в оснастке управления AD FS. To locate this value, open the snap-in, right-click Service, click Edit Federation Service Properties, and then find the value in Federation Service name text box.

Общие сведения об использовании SSL-сертификатов см. в статье Настройка уровня безопасных сокетов в IIS 7.0 (http://go.microsoft.com/fwlink/?LinkID=108544) и настройка сертификатов сервера в IIS 7.0 (http://go.microsoft.com/fwlink/?LinkID=108545).

Note

Сертификаты проверки подлинности клиента не требуются для прокси-серверов федерации AD FS.

Если какой-либо сертификат, используемый, содержит списки отзыва сертификатов (CRLS), сервер с настроенным сертификатом должен иметь возможность связаться с сервером, который распространяет списки отзыва сертификатов. Тип CRL определяет, какие порты используются.

See Also

Руководство по разработке AD FS в Windows Server 2012