共用方式為


服務通訊憑證

同盟伺服器要求在使用 WCF 訊息安全性的情節中,使用服務通訊憑證。

服務通訊憑證需求

服務通訊憑證必須符合下列需求,才能使用 AD FS:

  • 服務通訊憑證必須包含伺服器驗證增強金鑰使用方式 (EKU) 延伸。

  • 從服務通訊憑證到根 CA 憑證之鏈結中的所有憑證都必須可存取憑證撤銷清單 (CRL)。 任何信任此同盟伺服器的同盟伺服器 Proxy 和網頁伺服器也必須信任根 CA。

  • 服務通訊憑證中使用的主體名稱,必須符合同盟服務屬性中的同盟服務名稱。

服務通訊憑證的部署考量

設定服務通訊憑證,讓所有同盟伺服器都使用相同的憑證。 如果您要部署同盟網頁單一登入 (SSO) 設計,我們會建議公用 CA 核發服務通訊憑證。 您可以透過 IIS 管理員嵌入式管理單元,來要求並安裝這些憑證。

您可以在測試實驗室環境中的同盟伺服器上,成功使用自我簽署的服務通訊憑證。 不過,針對生產環境,建議您從公用 CA 取得服務通訊憑證。

您不應該使用自我簽署服務通訊憑證進行即時部署的原因包括:

  • 必須將自我簽署的 SSL 憑證新增至資源夥伴組織中每個同盟伺服器上的受根信任存放區。 雖然單獨自我簽署憑證並不會導致攻擊者入侵資源同盟伺服器,但信任自我簽署憑證會增加電腦的攻擊面。 如果憑證簽署者不值得信任,可能會導致安全性弱點。

  • 自我簽署的服務通訊憑證會建立不良的使用者體驗。 用戶端嘗試存取顯示下列訊息的同盟資源時,會收到安全性警示提示:「安全性憑證是由您未選擇信任的公司所核發。」這則訊息在預料之內,因為自我簽署憑證不受信任。

    注意

    如有必要,您可以使用群組原則,手動將自我簽署憑證向下推送至嘗試存取 AD FS 網站之每部用戶端電腦上受信任的根存放區,以解決此問題。

  • CA 提供更多以憑證為基礎的功能,例如私密金鑰封存、續約和撤銷,自我簽署的憑證並不會提供這些功能。