トークン署名証明書を追加する
Active Directory フェデレーション サービス (AD FS) のフェデレーション サーバーでは、攻撃者がフェデレーション リソースに無許可でアクセスし、セキュリティ トークンを改ざんまたは偽造するのを防ぐために、トークン署名証明書を使用する必要があります。 すべてのトークン署名証明書には、暗号化の秘密キーと公開キーが含まれています。これらのキーは、秘密キーの手法に基づいてセキュリティ トークンにデジタル署名する場合に使用されます。 後で、パートナー フェデレーション サーバーによってトークン署名証明書が受信されると、これらのキーが公開キーの手法に基づいて使用され、暗号化されたセキュリティ トークンの信頼性が確認されます。
注意事項
証明書のうち、トークンの署名に使用されるものは、フェデレーション サービスの安定性を左右します。 この目的で構成された証明書が 1 つでも消失したり、予期せず削除されたりするとサービスが中断されるおそれがあるため、この目的で構成された証明書は必ずバックアップしてください。
トークン署名証明書は、フェデレーション サービスの信頼されたルートにチェーンする必要があります。 次の手順を使用して、エクスポートしたファイルから AD FS Management スナップインにトークン署名証明書を追加できます。
この手順を完了するには、ローカル コンピューター上の Administrators または同等のメンバーシップが最低限必要です。 適切なアカウントおよびグループ メンバーシップの使用について詳しくは、「ローカルおよびドメインの既定のグループhttp://go.microsoft.com/fwlink/?LinkId=83477).」を参照してください
トークン署名証明書を追加するには
[スタート] 画面で、「AD FS 管理」と入力し、Enter キーを押します。
コンソール ツリーで、[サービス] をダブルクリックし、[証明書] をクリックします。
[アクション] ウィンドウで、[トークン署名証明書を追加する] リンクをクリックします。
[証明書ファイルを参照する] ダイアログ ボックスで、追加する証明書ファイルに移動し、証明書ファイルを選択して、[開く] をクリックします。