ADFS 2.0。弄清楚每个 X.509 证书的用途和价值

Question

我对所有这些安全功能都不熟悉，最近我被要求研究 ADFS 2.0。我发现 ADFS 使用以下类型的 X.509 证书与依赖方 (RP) 进行通信：

• 对于所有 RP 通用： 1）服务沟通 2) 令牌签名 Token解密
• 3） RP专用的 ： 4) 加密证书

请帮助我找出在涉及所有 3 个部分的现实生产场景中哪一个是真正重要和需要的：用户、服务提供商（我们公司）、IdP（ADFS）（在客户的服务器上） 。

1) 我在 MS 帮助中发现了有关第一个证书的信息：“这是联合服务器在 Internet 信息服务 (IIS) 中用作 SSL 证书的同一证书”我不确定这是真的，因为我能够单独替换它们不会互相影响，因此它们肯定可以并行运行。所以不知道这个证书有什么用。

2) 第二个是用于注册已发行的代币，以便 RP 能够确保该代币确实是由受信任的 ADFS 发行的，而不是被拦截的，对吗？

3) 第三个可能用于相反的目的：ADFS 确保消息确实来自受信任的 RP。

4）特定RP的加密证书有助于加密整个消息（令牌），这样即使您获得了https公钥并从ADFS拦截了消息，您也无法在没有其他应该只有RP知道的公钥的情况下读取它，正确的？

如果我错了请纠正我。

所有这些证书都是可选的，微软没有提及其重要性，我在 WIF SDK 中唯一提到的帮助说最好在现实生活中使用令牌加密证书。问题是我们为 ADFS-RP 通信建立了 HTTPS 协议（IIS 设置为在双方都使用 https）。安全通信还不够吗？我想知道：我们真的需要 2)、3) 甚至 4) 吗？

Answer 1

在现实生活中，您至少有两个：

1.) SSL 证书 - 现在只是常识，并且由 SAML 2.0 SSO 配置文件。这可能是与前端 ADFS 的 IIS 相同的证书。

2.) 令牌签名/验证（不是“解密”）证书 - 需要符合使用“前端通道 绑定"（HTTP 重定向/POST）。如果您是身份提供商 (IdP)，那么您将拥有私有签名密钥 - 如果不是，则只有证书（带有公共验证密钥）。事实上，这是为了验证断言是由受信任的一方发出的，并且未被篡改。这对于联盟来说绝对至关重要，否则任何人都可以侵入您的环境（作为 SP (RP)）。

加密证书确实会用于加密 SAML 消息的某些部分 - 如果您试图隐藏可能通过用户浏览器传递的信息（例如 SAML 断言的属性语句中的敏感属性），这种情况很常见。

Answer 2

1 和 2 是强制性的。

如果不是 https 连接，ADFS 不会让您通过导入元数据来添加 RP 绑定。

声明的定义是“关于某个主体的声明；例如，一个主体对其自身或另一个主体做出的名称、身份、密钥、组、权限或能力。声明被赋予一个或多个值，然后打包在由安全令牌服务 (STS) 颁发的安全令牌中”。为了确保令牌的有效性，需要对其进行签名。

令牌本身是否加密取决于安全要求。