Jeder Verbundserverproxy verwendet für die Authentifizierung beim Verbunddienst ein Clientauthentifizierungszertifikat. Sie können ein beliebiges Zertifikat mit erweiterter Schlüsselverwendung (Extended Key Usage, EKU) für die Clientauthentifizierung verwenden, das mit einer vertrauenswürdigen Stammzertifizierungsstelle (Certification Authority, CA) auf dem Verbundserver als Clientauthentifizierungszertifikat für den Verbundserverproxy verkettet wird. Außerdem müssen Sie das Clientauthentifizierungszertifikat der Vertrauensrichtlinie explizit hinzufügen. Der private Schlüssel, der dem Clientauthentifizierungszertifikat für den Verbundserverproxy zugeordnet ist, ist jedoch nur im Verbundserverproxy gespeichert. Sie können ein Clientauthentifizierungszertifikat installieren, indem Sie eine Verbindung mit einer Unternehmenszertifizierungsstelle herstellen oder ein selbstsigniertes Zertifikat erstellen.
 | Wichtig |
|
Verwenden Sie kein Zertifikat, das von Ihrer Unternehmenszertifizierungsstelle für die Clientauthentifizierung eines Active Directory-Benutzers (insbesondere eines Domänenadministrators) ausgestellt wurde, da der private Schlüssel auf dem Verbundserverproxy gespeichert ist. Wenn der private Schlüssel auf dem Verbundserverproxy gespeichert ist, kann ein Administrator oder ein erfolgreicher Angreifer die Identität annehmen, die das Zertifikat darstellt. |
Allgemeine Informationen zum Installieren von Clientauthentifizierungszertifikaten beim Verwenden von Microsoft Zertifikatsdienste als Unternehmenszertifizierungsstelle finden Sie im Thema zum Übermitteln einer erweiterten Zertifikatanforderung über das Internet an eine Windows Server 2003-Zertifizierungsstelle (