Сертификаты для подписи маркера
Каждый сервер федерации использует сертификат для подписи маркера с целью подписывания всех производимых им маркеров безопасности. Так как каждый маркер безопасности подписан партнером по учетным записям, партнер по ресурсам может проверить, что маркер безопасности в действительности выдан партнером по учетным записям и что он не был изменен. Это помогает предотвратить фальсификацию и изменение злоумышленниками маркеров безопасности для получения несанкционированного доступа к ресурсам.
Цифровые подписи на маркерах безопасности также применяются у партнера по учетным записям, когда используется несколько серверов федерации. В этой ситуации с помощью цифровых подписей проверяются происхождение и целостность маркеров безопасности, выданных другими серверами федерации, принадлежащими партнеру по учетным записям. Цифровые подписи проверяются с помощью сертификатов подтверждения.
Примечание | |
Каждый сертификат для подписи маркера содержит закрытый ключ, который связан с сертификатом. |
Сертификаты подтверждения
Сертификаты подтверждения используются для подтверждения того, что маркер безопасности выдан действующим сервером федерации и что маркер не был изменен. Сертификаты подтверждения — это фактически сертификаты для подписи маркера, относящиеся к другим серверам федерации.
Чтобы удостовериться, что маркер безопасности выдан заданным сервером федерации и не был изменен, сервер федерации должен иметь сертификат подтверждения для сервера федерации, выдавшего маркер безопасности. Например, если сервер «А» федерации выдает маркер безопасности и посылает маркер безопасности серверу «B» федерации, сервер «B» федерации должен иметь сертификат подтверждения (сертификат для подписи маркера, относящийся к серверу «А» федерации) для сервера «А» федерации.
Примечание | |
В отличие от сертификата для подписи маркера сертификат подтверждения не содержит закрытого ключа, который связан с сертификатом. |
SSL-сертификат проверки подлинности сервера
Сервер федерации использует SSL-сертификат (Secure Sockets Layer) проверки подлинности сервера, чтобы защитить трафик веб-служб, обеспечивающий взаимодействие с веб-клиентами или прокси-агентом сервера федерации. Эти сертификаты запрашиваются и устанавливаются через оснастку служб IIS (Internet Information Services).
Дополнительные сведения о сертификатах см. в статье, описывающей инфраструктуру открытого ключа для Windows Server 2003, которая находится на веб-узле корпорации Майкрософт (http://go.microsoft.com/fwlink/?LinkId=19936).