ssl - ADFS 2.0。找出每个 X.509 证书的用途和值(value)

Question

我是所有这些安全功能的新手，最近我被要求研究 ADFS 2.0。我发现 ADFS 使用以下类型的 X.509 证书与依赖方 (RP) 进行通信:

• 所有 RP 通用:1)服务沟通2) token 签名3) token 解密
• 特定于 RP:4)加密证书

请帮助我找出在涉及所有 3 个部分的实际生产场景中哪个真正重要和需要:用户、服务提供商(我们公司)、IdP(ADFS)(在客户的服务器上)。

1) 我在 MS 帮助中发现关于第一个证书的内容:“这是联合服务器在 Internet 信息服务 (IIS) 中用作 SSL 证书的同一证书”我不确定这是真的，因为我能够单独更换它们不会相互影响，因此它们肯定可以并行运行。所以不知道这个证书有什么用。

2) 第二个用于签署已发行的 token ，以便 RP 能够确保 token 确实是由受信任的 ADFS 发行的，而不是被拦截的，对吗？

3) 第三个可能用于相反的目的:ADFS 确保消息确实来自受信任的 RP。

4) 特定RP的加密证书有助于加密整个消息(token)，这样即使你得到https公钥并拦截来自ADFS的消息，你也无法读取它没有其他应该只知道的公钥到 RP，对吗？

如果我错了请纠正我。

所有这些证书都是可选的，Micorosoft 没有说明其重​​要性，我在 WIF SDK 中唯一提到的是帮助说在现实生活中使用 token 加密证书更好。问题是我们为 ADFS-RP 通信建立了 HTTPS 协议(protocol)(IIS 设置为在双方都使用 https)。安全通信还不够吗？我想知道:我们真的需要 2)、3) 甚至 4) 吗？

Answer 1

在现实生活中，您至少有两个:

1.) SSL 证书 - 现在只是常识，由 SAML 2.0 SSO profile 推荐.这可能是与作为前端 ADFS 的 IIS 相同的证书。

2.) token 签名/验证(不是“解密”)证书 - 需要符合使用“前端 channel bindings”(HTTP 重定向/POST)的 SAML 2.0 配置文件。如果您是身份提供者 (IdP)，那么您将拥有私有(private)签名 key - 如果不是，则只有证书(带有公共(public)验证 key )。事实上，这是为了验证断言是否由受信任方发出，并且未被篡改。这对于联合来说绝对是至关重要的，否则任何人都可以进入您的环境(作为 SP (RP))。

加密证书确实会用于加密部分 SAML 消息 - 如果您试图隐藏可能通过用户浏览器传递的信息(例如 SAML 断言的属性声明中的敏感属性)，这很常见。