Экспорт части сертификата аутентификации сервера с закрытым ключом

Каждый сервер федерации в ферме службы федерации Active Directory (AD FS) (AD FS) должен иметь доступ к закрытому ключу сертификата проверки подлинности сервера. Если вы реализуете ферму серверов федерации или веб-серверов, у вас должен быть один сертификат проверки подлинности. Этот сертификат выдается центром сертификации предприятия, и у него должен иметься экспортируемый закрытый ключ. Закрытый ключ сертификата аутентификации сервера должен быть экспортируемым, чтобы его можно было предоставить всем серверам на ферме.

Эта же концепция относится к фермам прокси-серверов федерации в том смысле, что все прокси-серверы федерации в ферме должны совместно использовать часть закрытого ключа одного сертификата проверки подлинности сервера.

Примечание.

Оснастка управления AD FS ссылается на сертификаты проверки подлинности сервера для серверов федерации в качестве сертификатов связи службы.

В зависимости от того, какую роль будет играть этот компьютер, используйте эту процедуру на компьютере сервера федерации или прокси-компьютере сервера федерации, где установлен сертификат проверки подлинности сервера с закрытым ключом. По окончании процедуры можно импортировать этот сертификат на веб-сайт по умолчанию каждого сервера на ферме. Дополнительные сведения см. в разделе "Импорт сертификата проверки подлинности сервера" на веб-сайт по умолчанию.

Для выполнения этой процедуры требуется членство в группе Администраторы или в эквивалентной группе на локальном компьютере. Дополнительные сведения об использовании соответствующих учетных записей и членстве в группах см. в статье Local and Domain Default Groups (Локальные и доменные группы по умолчанию).

Экспорт части сертификата аутентификации сервера с закрытым ключом

1. На начальномэкране введите диспетчер службы IIS (IIS) и нажмите клавишу ВВОД.

2. В дереве консоли щелкните Имя_компьютера.

3. В центральной области дважды щелкните Сертификаты сервера.

4. В центральной области щелкните правой кнопкой мыши сертификат, который требуется экспортировать, а затем нажмите кнопку Экспорт.

5. В диалоговом окне экспорта сертификата нажмите кнопку ....

6. В имени файла введите C:\NameofCertificate и нажмите кнопку "Открыть".

7. Введите пароль для сертификата, подтвердите его и нажмите кнопку ОК.

8. Проверьте, успешно ли выполнен экспорт, убедившись, что заданный файл создан в заданном расположении.

   Внимание

   Для того чтобы этот сертификат можно было импортировать в локальное хранилище сертификатов на новом сервере, необходимо переместить файл на физический носитель и обеспечить его безопасность во время переноса на новый сервер. Очень важно обеспечить безопасность закрытого ключа. Если этот ключ скомпрометирован, безопасность всего развертывания AD FS (включая ресурсы в организации и в партнерских организациях ресурсов) скомпрометирована.

9. Импортируйте экспортированный сертификат аутентификации сервера в хранилище сертификатов на новом сервере до установки службы федерации. Сведения о импорте сертификата см. в разделе "Импорт сертификата сервера" (http://go.microsoft.com/fwlink/?LinkId=108283).

Дополнительная справка

Контрольный список. Настройка сервера федерации

Контрольный список. Настройка прокси-сервера федерации

Требования к сертификатам для серверов федерации

Требования к сертификатам для прокси-серверов федерации