Requisitos de Certificado para Proxies do Servidor de Federação
Os servidores em execução na função de proxy do servidor de federação no Serviços de Federação do Active Directory (AD FS) são necessários para usar certificados de autenticação de servidor SSL. Os proxies de servidor de federação usam certificados de autenticação de servidor SSL para proteger a comunicação de tráfego do servidor Web com clientes Web.
Os proxies de servidor de federação geralmente são expostos a computadores na Internet que não estão incluídos na PKI (infraestrutura de chave pública) da empresa. Portanto, use um certificado de autenticação de servidor emitido por uma AC (autoridade de certificação) pública (de terceiros), por exemplo, VeriSign.
Quando você tem um farm de proxy do servidor de federação, todos os computadores proxy do servidor de federação devem usar o mesmo certificado de autenticação de servidor. Para obter mais informações, consulte When to Create a Federation Server Proxy Farm.
É importante verificar se o nome do assunto no certificado de autenticação de servidor corresponde o valor do nome de serviço de federação especificado no snap-in de Gerenciamento do AD FS. Para localizar esse valor, abra o snap-in, clique com o botão direito do mouse em Service, clique em Editar Propriedades do Serviço de Federação e localize o valor na caixa de texto Nome do serviço de federação.
Para obter informações gerais sobre o uso de certificados SSL, confira Como configurar o protocolo SSL no IIS 7.0 (http://go.microsoft.com/fwlink/?LinkID=108544) e Como configurar certificados de servidor no IIS 7.0(http://go.microsoft.com/fwlink/?LinkID=108545).
Observação
Certificados de autenticação de cliente não são necessários para proxies do servidor de federação do AD FS.
Se qualquer certificado que você usar tiver CRLs (listas de revogação de certificado), o servidor com o certificado configurado deverá ser capaz de entrar em contato com o servidor que distribui as CRLs. O tipo de CRL determina quais portas são usadas.