トークン暗号化解除証明書を追加する
証明書利用者フェデレーション サーバーが、新しい証明書がプライマリ復号化証明書として設定された後に古い証明書で発行されたトークンの暗号化を解除する必要がある場合、フェデレーション サーバーはトークン暗号化解除証明書を使用します。 Active Directory フェデレーション サービス (AD FS) (AD FS) では、Secure Sockets Layer (IIS) の インターネット インフォメーション サービス (SSL) 証明書が既定の暗号化解除証明書として使用されます。
注意事項
証明書のうち、トークン暗号化解除に使用されるものは、フェデレーション サービスの安定性を左右します。 この目的で構成された証明書が 1 つでも消失したり、予期せず削除されたりするとサービスが中断されるおそれがあるため、この目的で構成された証明書は必ずバックアップしてください。
次の手順を使用して、エクスポートしたファイルから AD FS Management スナップインにトークン暗号化解除証明書を追加できます。
この手順を完了するには、ローカル コンピューター上の Administrators または同等のメンバーシップが最低限必要です。 グループ メンバーシップ ローカルおよびドメインの既定のグループでで適切なアカウントの使用方法の詳細を確認します (http://go.microsoft.com/fwlink/?LinkId=83477).
トークン暗号化解除証明書を追加するには
[スタート] 画面で、「AD FS 管理」と入力し、Enter キーを押します。
コンソール ツリーで、[サービス] をダブルクリック し、[証明書] をクリックします。
[操作] ペイン で、証明書のリンク 追加Token-Decryptingクリック します。
[証明書 ファイルの参照] ダイアログ ボックスで、追加する証明書ファイルに移動し、証明書ファイルを選択して、[開く] をクリック します。