在 ADFS中憑證是非常重要的, 它們用於保證通信的安全性、資料的完整性和身份的可信性, 正確設定和管理 ADFS中的憑證是確保身份同盟安全和有效運行的關鍵步驟, 服務通訊憑證保護通信, 權杖簽署憑證確保權杖的完整性, 權杖解密憑證則允許 ADFS解密接收到的權杖, 每種憑證都有其特定的需求和配置要求
。作用: 服務通訊憑證用於加密 ADFS伺服器與用戶端(如Web瀏覽器或其他應用程式)之間的通信, 以確保資料在傳輸過程中的機密性和完整性
。需求:
--SSL/TLS加密: 服務通訊憑證是SSL/TLS憑證, 用於保護HTTP流量, 確保瀏覽器和 ADFS伺服器之間的通信是加密的
--受信任的CA發布: 應由受信任的憑證頒發機構(CA)發布, 以確保用戶和其他應用程式能夠信任該憑證w-studio.idv.tw
--完整的憑證鏈: 憑證應包括完整的憑證鏈, 以便用戶端能夠驗證憑證的有效性
。設定: 安裝並設定 SSL憑證在 ADFS伺服器上, 並在 ADFS控制台設定該憑證作為服務通訊憑證
2. 權杖簽署憑證(Token-Signing Certificate)
。作用: 權杖簽署憑證用於對 ADFS發出的安全權杖(Security Tokens)進行數位簽章, 以確保權杖的完整性和可信性
。需求:
--數位簽章: 憑證使用數位簽章以確保權杖未被篡改
--自簽章憑證: 可以使用自簽章憑證, 但最好是由受信任的CA發布
--有效期限: 憑證應該有足夠長的有效期限並在到期前進行更新, 以防止服務中斷
。設定: 在 ADFS控制台設定權杖簽署憑證, 並確保所有信賴憑證者信任設定更新為最新的簽署憑證
3. 權杖解密憑證(Token-Decrypting Certificate)
。作用: 權杖解密憑證用於解密接收到的加密權杖, 從而讀取權杖中包含的安全宣告
。需求:w-studio.idv.tw
--加密和解密: 憑證應包含公開密鑰和私有密鑰以進行權杖的加密和解密
--自簽章憑證: 可以使用自簽章憑證, 但最好是由受信任的CA發布
--保護私鑰: 確保私鑰的安全儲存和保護, 以防止未經授權的存取
。設定: 在 ADFS控制台設定權杖解密憑證, 並確保正確設定以解密接收到的權杖
沒有留言:
張貼留言