Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Серверы федерации требуют сертификатов для подписания токенов, чтобы предотвратить изменение или подделку токенов безопасности злоумышленниками, пытаясь получить несанкционированный доступ к ресурсам федерации. Связывание закрытых и открытых ключей, используемое с сертификатами подписывания токенов, является самым важным механизмом проверки любого федеративного партнерства, так как эти ключи проверяют, был ли маркер безопасности выдан действительным сервером федерации партнера и что маркер не был изменен во время передачи.
Требования к сертификату подписи токенов
Сертификат подписывания токенов должен соответствовать следующим требованиям для работы с AD FS:
Для того чтобы сертификат подписи токена успешно подписывал токен безопасности, он должен содержать закрытый ключ.
Учетная запись службы AD FS должна иметь доступ к закрытому ключу сертификата подписания токенов в личном хранилище локального компьютера. За это отвечает настройка. Вы также можете использовать снап-ин управления AD FS, чтобы обеспечить доступ, если впоследствии будет изменён сертификат подписи маркеров.
Примечание.
Рекомендуется использовать инфраструктуру открытых ключей (PKI), чтобы не совместно использовать закрытый ключ для нескольких целей. Поэтому не используйте сертификат связи службы, установленный на сервере федерации, в качестве сертификата подписи токена.
Использование сертификатов подписи токенов между партнерами
Каждый сертификат для подписи токенов содержит криптографические закрытые ключи и открытые ключи, которые используются для цифрового подписывания (с помощью закрытого ключа) токена безопасности. Позже после получения сервером федерации партнера эти ключи проверяют подлинность (с помощью открытого ключа) зашифрованного маркера безопасности.
Так как каждый маркер безопасности подписывается партнером учетной записи, партнер ресурсов может убедиться, что маркер безопасности был выдан партнером учетной записи и что он не был изменен. Цифровые подписи проверяются частью, содержащей открытый ключ, сертификата подписи токена партнера. После проверки подписи сервер федерации ресурсов создает собственный токен для своей организации и подписывает его собственным сертификатом для подписи токенов.
Для среды партнёров федерации, когда сертификат подписи токенов выдан центром сертификации, убедитесь, что:
Списки отзыва сертификатов (CRLS) сертификата доступны проверяющим сторонам и веб-серверам, которым доверяет сервер федерации.
Сертификат корневого центра сертификации доверяется доверяющим сторонам и веб-серверам, которые доверяют серверу федерации.
Веб-сервер у ресурсного партнера использует открытый ключ сертификата подписи токена, чтобы убедиться, что токен безопасности подписан сервером федерации ресурсами. Затем веб-сервер разрешает соответствующий доступ к клиенту.
Рекомендации по развертыванию сертификатов подписывания токенов
При развертывании первого сервера федерации в новой установке AD FS необходимо получить сертификат подписания токенов и установить его в хранилище личных сертификатов локального компьютера на этом сервере федерации. Вы можете получить сертификат подписи токенов, запросив его в корпоративном УЦ или общедоступном УЦ, или создав самозаверяющий сертификат.
Закрытый ключ из одного сертификата подписи токена передаётся всем серверам федерации в ферме.
В среде фермы серверов федерации рекомендуется, чтобы все серверы федерации использовали один и тот же сертификат подписи токенов. Вы можете установить единый сертификат подписи токенов, выданный центром сертификации, на сервер федерации и затем экспортировать закрытый ключ, если выданный сертификат помечен как экспортируемый.
Как показано на следующем рисунке, закрытый ключ из одного сертификата подписи токена можно передавать всем федеративным серверам в ферме. Этот параметр — по сравнению со следующим параметром, «уникальный сертификат подписи токенов» — сокращает затраты, если планируется получить сертификат подписи токенов из публичного центра сертификации.
Сведения об установке сертификата при использовании служб сертификатов Майкрософт в качестве корпоративного ЦС см. в статье IIS 7.0. Создание сертификата сервера домена в IIS 7.0.
Сведения об установке сертификата из общедоступного центра сертификации см. в статье IIS 7.0: Сертификат интернет-сервера.
Сведения об установке самозаверяющего сертификата см. в статье IIS 7.0. Создание сертификата сервера Self-Signed в IIS 7.0.
См. также
Руководство по проектированию AD FS в Windows Server 2012