Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Ein Verbundserver erfordert die Verwendung von Dienstkommunikationszertifikaten für Szenarien, in denen WCF-Nachrichtensicherheit verwendet wird.
Anforderungen an das Dienstkommunikationszertifikat
Dienstkommunikationszertifikate müssen die folgenden Anforderungen erfüllen, um mit AD FS zu arbeiten:
Das Dienstkommunikationszertifikat muss die Erweiterung für die erweiterte Schlüsselverwendung (Enhanced Key Usage, EKU) der Serverauthentifizierung enthalten.
Die Zertifikatsperrlisten (Certificate Revocation Lists, CRLs) müssen für alle Zertifikate in der Kette vom Dienstkommunikationszertifikat bis zum Stammzertifizierungsstellenzertifikat zugänglich sein. Alle Verbundserver-Proxys und Webserver, die diesem Verbundserver vertrauen, müssen auch der Stammzertifizierungsstelle vertrauen.
Der Betreffname, der im Dienstkommunikationszertifikat verwendet wird, muss mit dem Namen des Verbunddienstes in den Eigenschaften des Verbunddienstes übereinstimmen.
Bereitstellungsüberlegungen für Dienstkommunikationszertifikate
Konfigurieren Sie Dienstkommunikationszertifikate so, dass alle Verbundserver dasselbe Zertifikat verwenden. Wenn Sie das SSO-Design (Federated Web Single-Sign-On) bereitstellen, empfehlen wir, dass eine öffentliche Zertifizierungsstelle Ihr Dienstkommunikationszertifikat ausgibt. Sie können diese Zertifikate über das IIS-Manager-Snap-In anfordern und installieren.
Sie können selbstsignierte Dienstkommunikationszertifikate erfolgreich auf Verbundservern in einer Testumgebung verwenden. Für eine Produktionsumgebung wird jedoch empfohlen, Dienstkommunikationszertifikate von einer öffentlichen Zertifizierungsstelle zu erhalten.
Gründe, warum Sie keine selbstsignierten, Dienstkommunikationszertifikate für eine Livebereitstellung verwenden sollten, sind:
Ein selbstsigniertes SSL-Zertifikat muss dem vertrauenswürdigen Stammspeicher auf jedem der Verbundserver in der Ressourcenpartnerorganisation hinzugefügt werden. Ein selbstsigniertes Zertifikat allein ermöglicht es einem Angreifer zwar nicht, einen Ressourcenverbundserver zu kompromittieren, das Vertrauen selbstsignierter Zertifikate erhöht jedoch die Angriffsfläche eines Computers. Wenn der Zertifikat signierer nicht vertrauenswürdig ist, kann es zu Sicherheitsrisiken führen.
Ein selbstsigniertes Dienstkommunikationszertifikat erzeugt eine schlechte Benutzererfahrung. Clients erhalten Sicherheitswarnungsaufforderungen, wenn sie versuchen, auf Verbundressourcen zuzugreifen, die die folgende Meldung anzeigen: "Das Sicherheitszertifikat wurde von einem Unternehmen ausgestellt, dem Sie nicht vertrauen möchten." Diese Nachricht wird erwartet, da das selbstsignierte Zertifikat nicht vertrauenswürdig ist.
Note
Bei Bedarf können Sie diese Bedingung umgehen, indem Sie gruppenrichtlinien verwenden, um das selbstsignierte Zertifikat manuell auf den vertrauenswürdigen Stammspeicher auf jedem Clientcomputer zu übertragen, der versucht, auf einen AD FS-Standort zuzugreifen.
CAs bieten mehr zertifikatbasierte Features, z. B. privates Schlüsselarchiv, Erneuerung und Sperrung, die nicht von selbstsignierten Zertifikaten bereitgestellt werden.