如果已安裝 Web 服務器角色,則 Active Directory Federation Services (AD FS) 2.0 中的聯合身份驗證服務名稱的來源爲 Internet 信息服務 (IIS) 中默認網站的安全套接字層 (SSL) 證書。 實際名稱文本由證書的“使用者”字段或“使用者備用名稱”字段(如果需要)決定。 例如,如果您想要讓聯合身份驗證服務位於 sts1.contoso.com,則必須在計算機存儲中的本地計算機上安裝已頒發給 sts1.contoso.com 的證書。 將 聯合服務器 添加到現有服務器場時,已在場中配置的服務器上使用的相同證書必須在您嘗試擴展場的計算機本地處於可用狀態。
| 項目 | 詳細信息 | ||
|---|---|---|---|
|
SSL 證書 |
從可用合格證書列表中選擇證書以確定聯合身份驗證服務名稱。 此列表是根據默認網站的 SSL 設置生成的。 如果默認網站只配置了一個 SSL 證書,則會顯示並自動選擇使用該證書。 如果爲默認網站配置了多個 SSL 證書,則此處會列出所有這些證書,您必須從中進行選擇。 如果沒有爲默認網站配置任何 SSL 設置,則會根據計算機存儲中的可用證書生成該列表。 如果不能選擇證書,則原因是您沒有滿足最低安全主機命名要求的證書。 在繼續進行服務器配置之前,先另外獲取一個證書。 AD FS 2.0 需要具有作爲完全限定 DNS 域名的“使用者”名稱(或“使用者備用名稱”)的證書。 任何使用短(單標籤)主機名命名的本地證書都被阻止,無法選擇。 在這種名稱下頒發的證書很容易通過 Internet 從許多證書頒發機構以欺騙方式獲得。 選擇您在此使用的證書是 AD FS 2.0 設計和部署中的主要決策點。 如果您使用網絡負載平衡 (NLB) 解決方案(如 Windows NLB 或非 Microsoft 硬件負載平衡器),就應該使用爲標識 NLB 羣集組而保留的 DNS 名稱。 另外,您還應該註冊此名稱(或驗證它是否已註冊)並確保它在 DNS 配置中正確解析。 建立用於自身環境的 DNS 名稱後,從提供強安全選項(如 2,048 位或更長的密鑰長度)的受信任證書頒發機構 (CA) 請求或獲得證書。
|
||
|
端口 |
指定爲默認網站的 SSL 設置分配的端口號。 如果在多個端口上配置證書,則必須在此處選擇要使用的端口號。 如果未配置任何 SSL 綁定,則會從本地計算機上的個人證書存儲中選擇證書,默認情況下,假定端口值爲 443。 |
||
|
聯合身份驗證服務名稱 |
指示根據所選證書確定的聯合身份驗證服務的名稱。 如果所選證書具有多個可能的名稱,則此字段中包含多個名稱;如果所選證書爲通配符證書,則必須鍵入一個名稱。 例如,如果將證書頒發給 *.contoso.com,則必須在此處提供要使用的名稱(例如,sts1.contoso.com)。 |
備註爲什麼此處未顯示我的證書?
AD FS 2.0 聯合服務器配置嚮導具有基於增強型密鑰用途 (EKU) 的證書篩選器。 EKU 的作用是指定證書的用途(例如,客戶端身份驗證、服務器身份驗證)。 證書無需具有 EKU 擴展,這表示允許以任何目的使用證書。 此處列出的證書不得具有由 聯合服務器 識別的“服務器身份驗證”的 EKU 限制或 EKU 擴展。
爲何應使用密鑰長度爲 2,048 位或更多位的證書?
證書用於保護聯合身份驗證服務及其信任關係。 基於這些目的,建議對當前和未來部署使用的密鑰長度不要少過 2,048 位。 可以預見在未來,1,024 位密鑰長度的 RSA 密鑰可能易於受到密碼分析攻擊。 爲了確保安全性,請使用 2,048 位或更多位的默認密鑰長度。 它是 Microsoft 強加密提供程序和其他加密服務提供程序 (CSP) 所提供的默認值。
原文地址:http://technet.microsoft.com/zh-CN/library/gg557751%28WS.10%29.aspx
