Общее представление о сертификатах, используемых службами федерации Active Directory

Чтобы защитить обмен данными и облегчить проверку подлинности и авторизацию пользователей, выполняемые по запросам серверов федерации, прокси-серверов федерации и веб-серверов с поддержкой служб федерации Active Directory, в любой схеме служб федерации Active Directory должны использоваться различные сертификаты.

Общие сведения о сертификатах см. в описании инфраструктуры открытых ключей для Windows Server 2003 (http://go.microsoft.com/fwlink/?LinkId=19936).

Сертификаты, используемые серверами федерации

Каждый сервер федерации должен иметь сертификат проверки подлинности сервера и сертификат для подписи токенов, прежде чем он сможет участвовать в обмене данными со службами федерации Active Directory. Для политики доверия требуется связанный сертификат, известный как сертификат проверки, который представляет собой часть сертификата для подписи токенов, относящуюся к открытому ключу.

Сертификаты проверки подлинности серверов

Сервер федерации использует SSL-сертификат проверки подлинности сервера, чтобы защитить трафик веб-служб, обеспечивающий взаимодействие с веб-клиентами или прокси-сервером федерации. Эти сертификаты можно запросить и установить с помощью оснастки «Службы IIS».

Сертификаты для подписи токенов

Каждый сервер федерации использует подписывающий токены сертификат для подписи всех производимых им токенов безопасности. Так как каждый токен безопасности подписан партнером по учетным записям, партнер по ресурсам может проверить, что токен безопасности в действительности выдан партнером по учетным записям и что он не был изменен. Это помогает предотвратить фальсификацию и изменение злоумышленниками токенов безопасности для получения несанкционированного доступа к ресурсам.

Цифровые подписи в токенах безопасности также применяются у партнера по учетным записям, когда существует несколько серверов федерации. В этой ситуации с помощью цифровых подписей проверяются происхождение и целостность токенов безопасности, выданных другими серверами федерации, принадлежащими партнеру по учетным записям. Цифровые подписи проверяются с помощью сертификатов проверки.

Примечание

Каждый сертификат для подписи токенов содержит закрытый ключ, который связан с сертификатом.

Сертификаты проверки

Сертификаты проверки используются для подтверждения того, что токен безопасности выдан действующим сервером федерации и что токен не был изменен. Сертификаты проверки - это фактически сертификаты для подписи токенов других серверов федерации.

Чтобы удостовериться, что токен безопасности выдан заданным сервером федерации и не был изменен, сервер федерации должен иметь сертификат проверки для сервера федерации, выдавшего токен безопасности. Например, если сервер «А» федерации выдает токен безопасности и посылает токен безопасности серверу «B» федерации, сервер «B» федерации должен иметь сертификат проверки (сертификат для подписи токенов сервера «А» федерации) для сервера «А» федерации.

Примечание

В отличие от сертификата для подписи токенов сертификат проверки не содержит закрытого ключа, который связан с сертификатом.

Сертификаты, используемые прокси-серверами федерации

На серверах, на которых выполняется служба роли «Прокси-агент службы федерации», должны использоваться сертификат проверки подлинности клиента и сертификат проверки подлинности сервера.

Сертификаты проверки подлинности клиентов

Чтобы выполнить проверку подлинности в службе федерации, каждый прокси-сервер федерации использует SSL-сертификат проверки подлинности клиента. Любой сертификат с расширенным использованием ключа для проверки подлинности клиентов может применяться в качестве сертификата проверки подлинности клиентов, предназначенного для прокси-сервера федерации. Копия сертификата проверки подлинности клиентов, предназначенная для прокси-сервера федерации, хранится как в прокси-сервере федерации, так и в политике доверия сервера федерации. Однако только прокси-сервер федерации хранит закрытый ключ, который связан с сертификатом проверки подлинности клиента, предназначенным для прокси-сервера федерации.

Примечание

В пользовательском интерфейсе политики доверия в оснастке «Службы федерации Active Directory» сертификаты проверки подлинности клиентов упоминаются как сертификаты прокси-агента службы федерации.

Сертификаты проверки подлинности серверов

Прокси-сервер федерации использует SSL-сертификат проверки подлинности сервера (чтобы защитить трафик веб-служб), обеспечивающий взаимодействие с веб-клиентами. Эти сертификаты можно запросить и установить с помощью оснастки «Диспетчер служб IIS».

Сертификаты, используемые веб-серверами с поддержкой служб федерации Active Directory

На каждом веб-сервере с поддержкой служб федерации Active Directory, на котором работает веб-агент служб федерации Active Directory, для безопасного взаимодействия с веб-клиентами используются SSL-сертификаты проверки подлинности серверов. Эти сертификаты можно запросить и установить с помощью оснастки «Диспетчер служб IIS».