Я новичок во всех этих функциях безопасности, и недавно меня попросили заглянуть в ADFS 2.0. Я нашел ADFS использует следующие типы сертификатов X.509 общаться с полагающейся стороной (RP):ADFS 2.0. Выяснение чистоты и ценности каждого сертификата X.509
- Общие для всех RPS: 1) Услуги связи 2) Токен подписи 3) Токен-дешифрования
- Специфический для RP: сертификат 4) Шифрование
Помогите мне пожалуйста, чтобы выяснить, какие из них действительно важно и необходимо в реальной ситуации производства, где задействованы все 3 части: пользователь, поставщик услуг (наша компания), IdP (ADFS) (по заказу клиента) s сервер).
1) Что я нашел относительно первого сертификата в MS-помощи: «Это тот же сертификат, который сервер федерации использует в качестве сертификата SSL в службах IIS». Я не уверен, что это правда, потому что я смог чтобы заменить их отдельно, не влияя друг на друга, чтобы они определенно могли функционировать параллельно. Поэтому не знаю, для чего нужен этот сертификат.
2) Второй для регистрации выданных токенов, чтобы RP мог убедиться, что токен действительно выпущен доверенной ADFS, а не перехвачен, правильно?
3) Третий вариант, вероятно, предназначен для обратных целей: ADFS гарантирует, что сообщение действительно является доверенным RP.
4) Сертификат шифрования для конкретного RP помогает зашифровать все сообщение (токен), так что, даже если у вас есть открытый ключ https и перехват сообщения из ADFS, вы не можете прочитать его, не имея другого открытого ключа, который должен быть только Знаете, RP, правильно?
Исправьте меня, если я ошибаюсь.
Все эти сертификаты являются необязательными, и Micorosoft ничего не говорит о важности которого, единственное упоминание о том, что я заключил в WIF SDK, говорит, что лучше использовать сертификат шифрования токена в реальной жизни. Дело в том, что мы установили протокол HTTPS для связи ADFS-RP (IIS настроен на использование https с обеих сторон). Разве это недостаточно для безопасного общения? Интересно: нам действительно нужно 2), 3) и даже 4)?