Чтобы выполнить проверку подлинности в службе федерации, каждый прокси-сервер федерации использует сертификат проверки подлинности клиента. В качестве сертификата проверки подлинности клиента, предназначенного для прокси-сервера федерации, можно применять любой сертификат с расширенным использованием ключей для проверки подлинности клиентов, который прикреплен к доверенному корневому центру сертификации на сервере федерации. Кроме того, сертификат проверки подлинности клиента необходимо добавить в явном виде в политику доверия. Однако только прокси-сервер федерации хранит закрытый ключ, который связан с сертификатом проверки подлинности клиента, предназначенным для прокси-сервера федерации. Сертификат проверки подлинности клиента можно установить путем подключения к корпоративному центру сертификации или посредством создания самозаверяющего сертификата.

Важно!

Не используйте сертификат, который был выпущен корпоративным центром сертификации для проверки подлинности пользователя Active Directory (особенно администратора домена), так как закрытый ключ хранится на прокси-сервере федерации. Хранение закрытого ключа на прокси-сервере федерации позволяет администратору или проникшему злоумышленнику действовать от лица того, кого представляет сертификат.

Общие сведения об установке сертификатов проверки подлинности клиентов при использовании служб сертификации (Майкрософт) в качестве корпоративного центра сертификации см. в статье, описывающей передачу расширенного запроса сертификата через Интернет в центр сертификации Windows Server 2003 (http://go.microsoft.com/fwlink/?linkid=64020).