Чтобы выполнить проверку подлинности в службе федерации, каждый прокси-сервер федерации использует сертификат проверки подлинности клиента. В качестве сертификата проверки подлинности клиента, предназначенного для прокси-сервера федерации, можно применять любой сертификат с расширенным использованием ключей для проверки подлинности клиентов, который прикреплен к доверенному корневому центру сертификации на сервере федерации. Кроме того, сертификат проверки подлинности клиента необходимо добавить в явном виде в политику доверия. Однако только прокси-сервер федерации хранит закрытый ключ, который связан с сертификатом проверки подлинности клиента, предназначенным для прокси-сервера федерации. Сертификат проверки подлинности клиента можно установить путем подключения к корпоративному центру сертификации или посредством создания самозаверяющего сертификата.
Важно! | |
Не используйте сертификат, который был выпущен корпоративным центром сертификации для проверки подлинности пользователя Active Directory (особенно администратора домена), так как закрытый ключ хранится на прокси-сервере федерации. Хранение закрытого ключа на прокси-сервере федерации позволяет администратору или проникшему злоумышленнику действовать от лица того, кого представляет сертификат. |
Общие сведения об установке сертификатов проверки подлинности клиентов при использовании служб сертификации (Майкрософт) в качестве корпоративного центра сертификации см. в статье, описывающей передачу расширенного запроса сертификата через Интернет в центр сертификации Windows Server 2003 (http://go.microsoft.com/fwlink/?linkid=64020).