联合服务器要求对使用 WCF 消息安全性的方案使用服务通信证书。
服务通信证书要求
服务通信证书必须满足以下要求才能使用 AD FS:
服务通信证书必须包括服务器身份验证增强型密钥用法(EKU)扩展。
证书吊销列表(CRL)必须可供链中的所有证书从服务通信证书访问到根 CA 证书。 任何信任此联合服务器的联合服务器代理和 Web 服务器也必须信任根 CA。
服务通信证书中使用的使用者名称必须与联合身份验证服务的属性中的联合身份验证服务名称匹配。
服务通信证书的部署注意事项
配置服务通信证书,以便所有联合服务器使用相同的证书。 如果要部署联合 Web 单一登录 (SSO) 设计,建议公共 CA 颁发服务通信证书。 可以通过 IIS 管理器请求和安装这些证书。
可以在测试实验室环境中的联合服务器上成功使用自签名的服务通信证书。 但是,对于生产环境,我们建议从公共 CA 获取服务通信证书。
不应使用自签名服务通信证书进行实时部署的原因包括:
必须将自签名 SSL 证书添加到资源伙伴组织中每个联合服务器上的受信任根存储中。 虽然单独使用自签名证书不会使攻击者入侵资源联合服务器,但信任自签名证书会增加计算机的攻击面。 如果证书签名者不可信,可能会导致安全漏洞。
自签名的服务通信证书会产生糟糕的用户体验。 客户端在尝试访问显示以下消息的联合资源时收到安全警报提示:“安全证书是由你未选择信任的公司颁发的。此消息是预期的,因为自签名证书不受信任。
注释
如有必要,可以使用组策略手动将自签名证书推送到尝试访问 AD FS 站点的每个客户端计算机上的受信任根存储来解决此问题。
CA 提供了更多基于证书的功能,例如私钥存档、续订和吊销,这些功能不是由自签名证书提供的。