Токены сертификаты

Время чтения: 7 мин В этой статье Серверы федерации нуждаются в-сертификатах для подписи маркеров, чтобы предотвратить изменение или подделка маркеров токены сертификаты злоумышленниками при попытке получить несанкционированный доступ к федеративным ресурсам. Federation servers require token-signing certificates to prevent attackers from altering or counterfeiting security tokens in an attempt to gain unauthorized access to federated resources.

Требования-к сертификату для подписи маркераToken-signing certificate requirements Сертификат для-подписи маркера должен соответствовать следующим требованиям для работы с AD FS.

криптовалюта e

A token-signing certificate must meet the following requirements to work with AD FS: Чтобы сертификат подписи-маркера успешно подписывать маркер токены сертификаты, сертификат подписи маркера-должен содержать закрытый ключ. For a token-signing certificate to successfully sign a security token, the token-signing certificate must contain a private key.

Токен (авторизации) — Википедия

Учетная запись службы AD FS токены сертификаты иметь доступ к закрытому ключу сертификата для подписи маркера-в личном хранилище локального компьютера. Это выполняется программой установки. This is taken care of by Setup. Вы также можете использовать оснастку-управления AD FS в, чтобы обеспечить этот доступ, если впоследствии вы измените сертификат подписи маркера.

Примечание Токены сертификаты открытых ключей не рекомендуется использовать закрытый ключ для нескольких целей. It is a public key infrastructure PKI best practice to not share the private key for multiple purposes.

PKI-токены и смарт-карты

Поэтому не используйте сертификат связи служб, установленный на сервере федерации в качестве сертификата для подписи маркера. Therefore, do not use the service communication certificate that you installed on the federation server as токены сертификаты token-signing certificate.

Использование сертификатов-для подписи маркеров на разных участникахHow token-signing certificates are used across partners Каждый сертификат-подписи маркера содержит криптографические закрытые ключи и открытые ключи, которые используются для цифровой подписи с помощью закрытого ключа маркера безопасности.

Every token-signing certificate contains cryptographic private keys and public keys that are used to digitally sign by токены сертификаты of the private key a security token. Позже, после получения токены сертификаты федерации партнера, эти ключи проверяют подлинность где много заработать деньги помощью открытого ключа зашифрованного маркера безопасности. Later, after they are received by a partner federation server, these keys validate the authenticity by means of the public key of the encrypted security token.

Так как каждый маркер безопасности имеет цифровую подпись партнера по учетным записям, партнер по ресурсам может проверить, что маркер безопасности на самом деле выдан партнером по учетной записи и что он не был изменен. Because each security token is digitally signed by the account partner, the resource partner can verify that the security token was in fact issued by the account partner and that it токены сертификаты not modified.

Цифровые подписи проверяются частью открытого ключа сертификата для подписи маркера-партнера. После проверки подписи сервер федерации ресурсов создает собственный маркер безопасности для своей организации и подписывает маркер безопасности с помощью собственного сертификата для подписи маркера.

After the signature is verified, the resource federation server generates its own security token for its organization and it signs the security token with its own token-signing certificate. Для партнерских сред Федерации, когда центр-сертификации выдает сертификат для подписи маркера, убедитесь токены сертификаты том, что:For federation токены сертификаты environments, when the token-signing certificate has been issued by a CA, ensure that: Список токены сертификаты сертификатов содержит списки отзыва сертификатов, доступные для проверяющих сторон и веб-серверов, токены сертификаты mcrosoft опционы серверу федерации.

The certificate revocation lists CRLs of the certificate are accessible to relying parties and Web servers that trust the federation server. Сертификат корневого ЦС является токены сертификаты для проверяющих сторон и веб-серверов, которые доверяют серверу федерации. The root CA certificate is trusted by the relying parties and Web servers that trust the federation server.

Веб-сервер в партнере по ресурсам использует открытый ключ сертификата для подписи-маркера, чтобы убедиться, что маркер безопасности подписан сервером федерации ресурсов.

токены сертификаты

The Web server in the resource partner uses the public key of the token-signing certificate to verify that the security token is signed by the resource federation server. Затем веб-сервер обеспечивает соответствующий доступ к клиенту. The Web server then allows the appropriate access to the client.

Рекомендации по развертыванию-сертификатов для подписи маркеровDeployment considerations for token-signing certificates При развертывании первого сервера федерации в новой установке AD FS необходимо получить сертификат подписи маркера-и установить его в личное хранилище сертификатов локального компьютера на этом сервере федерации.

When you токены сертификаты the first federation server in a new AD Токены сертификаты installation, you must obtain a token-signing certificate and install it in the local computer personal certificate store on that federation server.

Сертификат для подписи маркера-можно получить, запросив его из центра сертификации предприятия или из общедоступного центра сертификации или-создав самозаверяющий сертификат.

You can obtain a token-signing certificate by requesting one from an enterprise CA or a public CA or by creating a self-signed certificate. При развертывании фермы AD FS сертификаты токены сертификаты маркеров-устанавливаются по-разному в зависимости от способа создания фермы серверов.

вилки интернет заработок

When you deploy an AD FS farm, token-signing certificates are installed токены сертификаты, depending on how you create the server farm. При получении сертификатов для подписи маркеров-для развертывания можно рассмотреть два варианта фермы серверов. There are two server farm options that you can consider when you obtain token-signing certificates for your deployment: Закрытый ключ из одного сертификата подписи-маркера является общим для всех серверов федерации в ферме.

Токен (авторизации)

A private key from one token-signing certificate is shared among all the federation servers in a farm. В среде фермы серверов федерации рекомендуется, чтобы все серверы федерации использовали один и тот же сертификат подписи маркера. In a federation server farm environment, we recommend that all federation servers share or reuse the same token-signing certificate. Вы можете установить один сертификат подписи-маркера из центра сертификации на сервере федерации, а затем экспортировать закрытый токены сертификаты, если выданный сертификат помечен как экспортируемый.

токены сертификаты

You can install a single token-signing certificate from a CA on a federation server and then export the private key, as long as the issued certificate is marked as exportable. Как показано на следующем рисунке, закрытый ключ из одного сертификата подписи маркера-может быть общим для всех серверов федерации в ферме. As shown in the following illustration, the private key from a single token-signing certificate can be shared to all the federation servers in a farm.

Этот параметр — по сравнению с параметром "-уникальный сертификат подписи маркера" — сокращает затраты, если вы планируете-получить сертификат для подписи маркера из общедоступного ЦС.

This option—compared to the following "unique token-signing certificate" option—reduces costs if you plan to obtain a token-signing certificate from a public CA. Для каждого сервера федерации в-ферме существует уникальный сертификат для подписи маркера.

There is a unique token-signing certificate токены сертификаты токены сертификаты federation server in a farm.

токены сертификаты

При использовании нескольких уникальных сертификатов в ферме каждый сервер в этой ферме подписывает токены с собственным уникальным закрытым ключом. When you use multiple, unique certificates throughout your farm, each server in that farm signs tokens with its own unique private key. Как показано на следующем рисунке, можно получить отдельный сертификат подписи маркера-для каждого отдельного сервера федерации в ферме.

As shown in the following illustration, you can obtain a separate token-signing certificate for every single federation server in токены сертификаты farm. Этот вариант является более затратным, если вы планируете получать-сертификаты для подписи маркеров от общедоступного ЦС.

This option is more expensive if you plan to obtain your token-signing certificates from a public CA.

Похожие темы