共用方式為


權杖簽署憑證

同盟伺服器需要權杖簽署憑證,以防止攻擊者更改或偽造安全性權杖以試圖獲得對同盟資源的未經授權的存取權。 與權杖簽署憑證一起使用的私鑰/公鑰配對是任何同盟夥伴關係中最重要的驗證機制,因為這些金鑰可驗證安全性權杖是否由有效的夥伴同盟伺服器所核發,以及確定該權杖在傳輸期間沒有被修改。

權杖簽署憑證需求

權杖簽署憑證必須符合下列需求才能與 AD FS 搭配使用:

  • 為了讓權杖簽署憑證能順利簽署安全性權杖,該權杖簽署憑證必須包含一個私鑰。

  • AD FS 服務帳戶必須有權存取本機電腦的個人存放區中的權杖簽署憑證的私鑰。 這會由安裝程式處理。 如果您隨後變更權杖簽署憑證,您也可以使用 AD FS 管理嵌入式管理單元來確保此存取權。

注意

不出於多種目的共用私鑰是公鑰基礎結構 (PKI) 的最佳做法。 因此,請勿使用您在同盟伺服器上所安裝的服務通訊憑證作為權杖簽署憑證。

如何在夥伴之間使用權杖簽署憑證

每一個權杖簽署憑證都包含加密的私鑰和公鑰,可用來對安全性權杖進行數位簽署 (透過私鑰)。 稍後,夥伴同盟伺服器接收到它們之後,這些金鑰會驗證加密安全性權杖的真實性 (藉由公開金鑰)。隨後,在夥伴同盟伺服器收到這些金鑰後,這些金鑰會驗證加密安全性權杖的真實性 (透過公鑰)。

因為每個安全性權杖均由帳戶夥伴來進行數位簽署,所以資源夥伴可以驗證安全性權杖實際上是否由帳戶夥伴所核發的,並確定它未被修改過。 數位簽章是由夥伴權杖簽署憑證的公鑰部分所驗證。 驗證簽章之後,資源同盟伺服器會為其組織產生自己的安全性權杖,並使用自己的權杖簽署憑證對該安全性權杖進行簽署。

針對同盟夥伴環境,當 CA 頒發權杖簽署憑證時,請確定:

  1. 信任同盟伺服器的信賴憑證者和 Web 伺服器可以存取憑證的憑證撤銷清單 (CRL)。

  2. 根 CA 憑證受到信任同盟伺服器的信賴憑證者和 Web 伺服器的信任。

資源夥伴中的 Web 伺服器會使用權杖簽署憑證的公鑰來確認安全性權杖是否由資源同盟伺服器簽署。 然後,Web 伺服器會允許對用戶端進行適當的存取。

權杖簽署憑證的部署考量

在新的 AD FS 安裝中部署第一個同盟伺服器時,您必須取得權杖簽署憑證,將它安裝在該同盟伺服器上的本機電腦個人憑證存放區中。 您可以透過向企業 CA 或公有 CA 索取一個權杖簽署憑證或建立自簽章憑證來取得權杖簽署憑證。

  • 來自一個權杖簽署憑證的私鑰可在伺服器陣列中的所有同盟伺服器之間共用。

    在同盟伺服器陣列環境中,建議所有同盟伺服器共用 (或重複使用) 相同的權杖簽署憑證。 您可以在同盟伺服器上安裝來自 CA 的單一權杖簽署憑證,然後匯出私鑰 (只要頒發的憑證標記為可匯出即可)。

    如下圖所示,單一權杖簽署憑證中的私鑰可以共用給伺服器陣列中的所有同盟伺服器。 如果您打算向公有 CA 取得一個權杖簽署憑證,則此選項 (與下列的「唯一權杖簽署憑證」選項相比) 可降低成本。

    Illustration that shows the private key from a single token-signing certificate can be shared to all the federation servers in a farm.

如需在使用 Microsoft Certificate Services 作為您的企業 CA 時安裝憑證的相關資訊,請參閱 IIS 7.0:在 IIS 7.0 中建立網域伺服器憑證

如需安裝來自公有 CA 的憑證的相關資訊,請參閱 IIS 7.0:索取 Internet Server 憑證

如需安裝自我簽署憑證的相關資訊,請參閱 IIS 7.0:在 IIS 7.0 中建立自我簽署的伺服器憑證

另請參閱

Windows Server 2012 中的 AD FS 設計指南