联合服务器代理的证书要求
在 Active Directory 联合身份验证服务 (AD FS) 中以联合服务器代理角色运行的服务器需要使用安全套接字层 (SSL) 服务器身份验证证书。 联合服务器代理使用 SSL 服务器身份验证证书保护与 Web 客户端的 Web 服务器流量通信。
联合服务器代理通常向 Internet 上未包括在企业公钥基础结构 (PKI) 中的计算机公开。 因此,请使用由公共(第三方)证书颁发机构 (CA)(例如,VeriSign)颁发的服务器身份验证证书。
如果你有联合服务器代理场,则所有联合服务器代理计算机都必须使用相同的服务器身份验证证书。 有关详细信息,请参阅 When to Create a Federation Server Proxy Farm。
请务必验证服务器身份验证证书中的使用者名称是否与“AD FS 管理”管理单元中指定的联合身份验证服务名称值匹配。 若要查找此值,请打开管理单元,右键单击“服务”,单击“编辑联合身份验证服务属性”,然后在“联合身份验证服务名称”文本框中找到该值。
有关使用 SSL 证书的常规信息,请参阅“在 IIS 7.0 中配置安全套接字层”(http://go.microsoft.com/fwlink/?LinkID=108544) 和“在 IIS 7.0 中配置服务器证书”(http://go.microsoft.com/fwlink/?LinkID=108545)。
注意
AD FS 联合服务器代理不需要客户端身份验证证书。
如果使用的任何证书包含证书吊销列表 (CRL),则具有配置的证书的服务器必须能够联系分发 CRL 的服务器。 CRL 的类型确定了使用的端口。