Hinzufügen eines Tokensignaturzertifikats
Verbundserver in Active Directory-Verbunddiensten (AD FS) erfordern Tokensignaturzertifikate, um zu verhindern, dass Angreifer Sicherheitstoken ändern oder fälschen, um nicht autorisierten Zugriff auf Verbundressourcen zu erhalten. Jedes Tokensignaturzertifikat enthält kryptografische private Schlüssel und öffentliche Schlüssel, die zum digitalen Signieren eines Sicherheitstokens (mithilfe des privaten Schlüssels) verwendet werden. Später, nach Empfang dieser Schlüssel von einem Partnerverbundserver, überprüfen sie die Authentizität des verschlüsselten Sicherheitstokens (mithilfe des öffentlichen Schlüssels).
Achtung
Die für die Tokensignatur verwendeten Zertifikate sind für die Stabilität des Verbunddiensts unerlässlich. Da der Verlust oder die ungeplante Entfernung von Zertifikaten, die für diesen Zweck konfiguriert sind, den Dienst unterbrechen kann, sollten Sie alle für diesen Zweck konfigurierten Zertifikate sichern.
Das Tokensignaturzertifikat sollte an einen vertrauenswürdigen Stamm im Verbunddienst gebunden sein. Sie können das folgende Verfahren verwenden, um das Tokensignaturzertifikat aus einer exportierten Datei dem AD FS-Verwaltungs-Snap-In hinzuzufügen.
Zum Ausführen dieses Verfahrens ist mindestens die Mitgliedschaft in der Gruppe Administratoren oder eine gleichwertige Berechtigung auf dem lokalen Computer erforderlich. Informationen zu den entsprechenden Konten und Gruppenmitgliedschaften finden Sie unter Lokale und Domänenstandardgruppen (http://go.microsoft.com/fwlink/?LinkId=83477).
So fügen Sie ein Tokensignaturzertifikat hinzu
Geben Sie auf dem StartbildschirmAD FS-Verwaltung ein, und drücken Sie dann die EINGABETASTE.
Doppelklicken Sie in der Konsolenstruktur auf Dienst, und klicken Sie dann auf Zertifikate.
Klicken Sie im Bereich Aktionen auf Tokensignaturzertifikat hinzufügen.
Navigieren Sie im Dialogfeld Nach Zertifikatdatei suchen zu der Zertifikatdatei, die Sie hinzufügen möchten, wählen Sie die Zertifikatdatei aus, und klicken Sie dann auf Öffnen.