服务通信证书

  • 项目

联合服务器要求在使用 WCF 消息安全的场景中使用服务通信证书。

服务通信证书的要求

服务通信证书必须满足以下要求才能用于 AD FS:

  • 服务通信证书必须包含服务器身份验证增强型密钥使用 (EKU) 扩展。

  • 证书吊销列表 (CRL) 必须可供从服务通信证书到根 CA 证书链中的所有证书访问。 任何联合服务器代理和信任此联合服务器的 Web 服务器必须信任根 CA。

  • 服务通信证书中使用的使用者名称必须与联合身份验证服务的属性中的联合身份验证服务名称匹配。

服务通信证书的部署注意事项

配置服务通信证书,以便所有联合服务器都使用相同的证书。 如果要部署联合 Web 单一登录 (SSO) 设计,建议公共 CA 颁发服务通信证书。 可以通过 IIS 管理器管理单元请求和安装这些证书。

在测试实验室环境中可以对联合服务器成功使用自签名的服务通信证书。 不过,对于生产环境,建议从某个公共 CA 获取服务通信证书。

不应将自签名服务通信证书用于实时部署的原因包括:

  • 必须将自签名的 SSL 证书添加到资源伙伴组织中每个联合服务器上的受信任根存储中。 虽然仅使用自签名证书并不能使攻击者破坏资源联合服务器,但信任自签名证书会增加计算机的受攻击面。 如果证书签名者不可信,则可能会导致安全漏洞。

  • 自签名的服务通信证书会产生糟糕的用户体验。 客户端在尝试访问联合资源时收到安全警报提示,其中显示以下消息:“安全证书是由你未选择信任的公司颁发的。”这条消息是预期中的,因为自签名证书不受信任。

    备注

    如有必要,可以使用组策略手动将自签名证书推送到将尝试访问 AD FS 站点的每台客户端计算机上的受信任根存储区,从而解决此问题。

  • CA 提供自签名证书不提供的更多基于证书的功能,例如私钥存档、续订和吊销。