服務通訊憑證

同盟伺服器要求在使用 WCF 訊息安全性的情節中，使用服務通訊憑證。

服務通訊憑證需求

服務通訊憑證必須符合下列需求，才能使用 AD FS：

• 服務通訊憑證必須包含伺服器驗證增強金鑰使用方式 (EKU) 延伸。

• 從服務通訊憑證到根 CA 憑證之鏈結中的所有憑證都必須可存取憑證撤銷清單 (CRL)。 任何信任此同盟伺服器的同盟伺服器 Proxy 和網頁伺服器也必須信任根 CA。

• 服務通訊憑證中使用的主體名稱，必須符合同盟服務屬性中的同盟服務名稱。

服務通訊憑證的部署考量

設定服務通訊憑證，讓所有同盟伺服器都使用相同的憑證。 如果您要部署同盟網頁單一登入 (SSO) 設計，我們會建議公用 CA 核發服務通訊憑證。 您可以透過 IIS 管理員嵌入式管理單元，來要求並安裝這些憑證。

您可以在測試實驗室環境中的同盟伺服器上，成功使用自我簽署的服務通訊憑證。 不過，針對生產環境，建議您從公用 CA 取得服務通訊憑證。

您不應該使用自我簽署服務通訊憑證進行即時部署的原因包括：

• 必須將自我簽署的 SSL 憑證新增至資源夥伴組織中每個同盟伺服器上的受根信任存放區。 雖然單獨自我簽署憑證並不會導致攻擊者入侵資源同盟伺服器，但信任自我簽署憑證會增加電腦的攻擊面。 如果憑證簽署者不值得信任，可能會導致安全性弱點。

• 自我簽署的服務通訊憑證會建立不良的使用者體驗。 用戶端嘗試存取顯示下列訊息的同盟資源時，會收到安全性警示提示：「安全性憑證是由您未選擇信任的公司所核發。」這則訊息在預料之內，因為自我簽署憑證不受信任。

  注意

  如有必要，您可以使用群組原則，手動將自我簽署憑證向下推送至嘗試存取 AD FS 網站之每部用戶端電腦上受信任的根存放區，以解決此問題。

• CA 提供更多以憑證為基礎的功能，例如私密金鑰封存、續約和撤銷，自我簽署的憑證並不會提供這些功能。