のWindowsアイデンティティ基盤WCFサービスの証明書

Question

私は最近、セットアップWIFを使用してSTSに対するWCFサービスを持って、私は必要な証明書を理解しようとすると、彼らが影響を与えています、私はHTTPS通信を許可するIISに対して証明書を持っていますが、そこSTS構成でさらに2つの証明書への参照です。例えばMSDNのドキュメント（http://msdn.microsoft.com/en-us/library/ee748498.aspx）で

<appSettings> 
    <add key="SigningCertificateName" value="CN=STSTestCert"/> 
    <add key="EncryptingCertificateName" value="CN=DefaultApplicationCertificate"/> 
</appSettings> 

それはSTSは、それが発行するトークンに署名するために、デフォルトの証明書を使用しています

を述べています。この証明書には「STSTestCert」という名前が付けられ、証明書ストアに自動的に追加され、STSで使用されます。証明書ファイルはSTSプロジェクトに存在します。ファイルのパスワードは "STSTest"です。これは演習では使用しないでください。他の証明書と置き換えることができます

私の質問は、署名された証明書と暗号化証明書はどのような公開サービスに適した証明書ですか？私は3つのものが必要ですか？

Answer 1

WIFが組み込まれているという主張は、トークンを介して配信されます。

各トークンは、それが予想されるSTSからのものであることを証明するために署名されています。

私の知る限り、（特に指定のない限り、第三者がそれらを生成し、それらがSTSから来たこと「ふり」可能性が理にかなって）トークンの署名コンポーネントを削除する方法はありません。

これらのトークンも暗号化することができます。 httpsを超えて実行している場合は、メッセージ全体がIIS証明書で暗号化され、トークン自体がWIF暗号化証明書で再度暗号化されます。トークンの暗号化はオプションです。 FedUtilを使用する場合、質問の1つは「トークンの暗号化を行いますか？」です。 「いいえ」と答えると、暗号化されません。 「はい」と答えると、暗号化され、証明書を要求されます。

トークンの暗号化と署名の両方に同じ証明書を使用できます。セキュリティの観点からは、2つを使用するのが理にかなっています。

「最も安全」なソリューションは3つの証明書を使用します。

あなたは、信頼できる発行者から通常の方法で証明書を取得します。