Exporter la partie clé privée d'un certificat d'authentification serveur
Chaque serveur de fédération d’une batterie de services de fédération Active Directory (AD FS) doit avoir accès à la clé privée du certificat d’authentification du serveur. Si vous implémentez une batterie de serveurs de fédération ou de serveurs web, vous avez besoin d'un seul certificat d'authentification. Ce certificat doit être émis par une autorité de certification d'entreprise et doit comporter une clé privée exportable. La clé privée du certificat d'authentification serveur doit être exportable pour être mise à la disposition de tous les serveurs de la batterie.
Le même concept s'applique aux batteries de serveur proxy de fédération en ce sens que tous les serveurs proxy de fédération d'une batterie doivent partager la partie clé privée du même certificat d'authentification serveur.
Notes
Le composant logiciel enfichable Gestion AD FS fait référence aux certificats d'authentification serveur pour les serveurs de fédération en tant que certificats de communication du service.
En fonction du rôle prévu pour cet ordinateur, effectuez cette procédure sur l’ordinateur du serveur de fédération ou du serveur proxy de fédération sur lequel vous avez installé le certificat d'authentification serveur avec la clé privée. Une fois la procédure terminée, importez ce certificat sur le site web par défaut de chaque serveur de la batterie de serveurs. Pour plus d'informations, consultez Importer un certificat d'authentification serveur vers le site web par défaut.
Pour effectuer cette procédure, vous devez au minimum être membre du groupe Administrateurs ou d'un groupe équivalent sur l'ordinateur local. Examinez les informations relatives à l’utilisation des comptes et des appartenances de groupe appropriés dans la page consacrée aux Groupes de domaine et locaux par défaut.
Pour exporter la partie clé privée d'un certificat d'authentification serveur
Dans l’écran d’accueil, tapezGestionnaire des services internet, puis appuyez sur Entrée.
Dans l'arborescence de la console, cliquez sur Nom_Ordinateur.
Dans le volet central, double-cliquez sur Certificats de serveur.
Dans le volet central, cliquez avec le bouton droit sur le certificat à exporter, puis cliquez sur Exporter.
Dans la boîte de dialogue Exporter un certificat, cliquez sur le bouton ….
Dans Nom du fichier, tapez C:\Nom_du_Certificat, puis cliquez sur Ouvrir.
Tapez le mot de passe du certificat, confirmez-le, puis cliquez sur OK.
Validez l'exportation en confirmant que le fichier spécifié a été créé à l'emplacement approprié.
Important
Pour pouvoir importer ce certificat dans le magasin de certificats local sur le nouveau serveur, vous devez transférer le fichier sur un média physique et assurer son transport en toute sécurité vers le nouveau serveur. Il est essentiel de garantir la sécurité de la clé privée. Si cette clé est compromise, c'est la sécurité de l'ensemble de votre déploiement AD FS (y compris les ressources au sein de votre organisation et dans les organisations partenaires de ressource) qui est compromise.
Importez le certificat d'authentification serveur exporté dans le magasin de certificats sur le nouveau serveur avant d'installer le service de fédération. Pour plus d’informations sur l’importation du certificat, consultez Importer un certificat de serveur (http://go.microsoft.com/fwlink/?LinkId=108283).
Références supplémentaires
Check-list : Configuration d’un serveur de fédération
Check-list : configuration d’un serveur de fédération proxy