Добавление сертификата для подписи маркера
Серверы федерации в службы федерации Active Directory (AD FS) (AD FS) требуют сертификатов подписывания маркеров, чтобы предотвратить изменение или подделку маркеров безопасности злоумышленниками в попытке получить несанкционированный доступ к федеративным ресурсам. Каждый сертификат подписи токена содержит криптографические закрытые ключи и открытые ключи, которые используются для цифрового подписывания (с помощью закрытого ключа) маркера безопасности. Позже после получения этих ключей сервером федерации партнера они проверяют подлинность (с помощью открытого ключа) зашифрованного маркера безопасности.
Внимание
Сертификаты, используемые для подписывания токенов, критически важны для стабильности службы федерации. Так как потеря или незапланированное удаление любых сертификатов, настроенных для этой цели, может нарушить работу службы, следует создать резервную копию всех сертификатов, настроенных для этой цели.
Сертификат подписывания токенов должен быть привязан к доверенному корню в службе федерации. Чтобы добавить сертификат подписи маркера в оснастку управления AD FS, можно использовать следующую процедуру из экспортированного файла.
Для выполнения этой процедуры требуется членство в группе Администраторы или в эквивалентной группе на локальном компьютере. Ознакомьтесь с подробными сведениями об использовании соответствующих учетных записей и членства в группах по умолчанию в локальных и доменных группах (http://go.microsoft.com/fwlink/?LinkId=83477).
Добавление сертификата подписи токена
На начальном экране введитеAD FS Management и нажмите клавишу ВВОД.
В дереве консоли дважды щелкните "Служба" и щелкните " Сертификаты".
В области "Действия" щелкните ссылку "Добавить сертификат подписи маркеров".
В диалоговом окне "Обзор файла сертификата" перейдите к файлу сертификата, который требуется добавить, выберите файл сертификата и нажмите кнопку "Открыть".