在 Active Directory 联合身份验证服务(AD FS)中以联合服务器代理角色运行的服务器需要使用安全套接字层(SSL)服务器身份验证证书。 联合服务器代理使用 SSL 服务器身份验证证书来保护与 Web 客户端的 Web 服务器流量通信。
联合服务器代理通常向 Internet 上未包括在企业公钥基础结构 (PKI) 中的计算机公开。 因此,使用由公共(第三方)证书颁发机构(CA)颁发的服务器身份验证证书,例如 VeriSign。
拥有联合服务器代理服务器场时,所有联合服务器代理服务器计算机都必须使用相同的服务器身份验证证书。 有关详细信息,请参阅 “何时创建联合服务器代理服务器场”。
请务必验证服务器身份验证证书中的主题名称是否与 AD FS 管理单元中指定的联合服务名称值匹配。 若要找到此值,请打开管理单元,右键单击 “服务”,单击“ 编辑联合身份验证服务属性”,然后在 “联合身份验证服务名称 ”文本框中找到该值。
有关使用 SSL 证书的一般信息,请参阅在 IIS 7.0 (http://go.microsoft.com/fwlink/?LinkID=108544) 中配置安全套接字层和在 IIS 7.0 中配置服务器证书(http://go.microsoft.com/fwlink/?LinkID=108545)。
注释
AD FS 联合服务器代理不需要客户端身份验证证书。
如果使用的任何证书都有证书吊销列表(CRL),则具有已配置证书的服务器必须能够联系分发 CRL 的服务器。 CRL 的类型确定使用哪些端口。
另请参阅
Windows Server 2012 中的 AD FS 设计指南