Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Каждый сервер федерации в ферме служб федерации Active Directory (AD FS) должен иметь доступ к закрытому ключу сертификата проверки подлинности сервера. Если вы реализуете ферму серверов федерации или веб-серверов, у вас должен быть один сертификат проверки подлинности. Этот сертификат должен быть выдан центром сертификации предприятия (ЦС), и он должен иметь экспортируемый закрытый ключ. Закрытый ключ сертификата проверки подлинности сервера должен быть экспортируемым, чтобы его можно было сделать доступным для всех серверов в ферме.
Эта же концепция относится к фермам прокси-серверов федерации в том смысле, что все прокси-серверы федерации в ферме должны совместно использовать часть закрытого ключа одного сертификата проверки подлинности сервера.
Примечание.
Оснастка управления AD FS называет сертификаты для проверки подлинности серверов для серверов федерации сертификатами служебной связи.
В зависимости от того, какую роль будет играть этот компьютер, используйте эту процедуру на компьютере сервера федерации или прокси-компьютере сервера федерации, где установлен сертификат проверки подлинности сервера с закрытым ключом. После завершения процедуры этот сертификат можно импортировать на веб-сайт по умолчанию каждого сервера в ферме. Дополнительные сведения см. в разделе "Импорт сертификата проверки подлинности сервера" на веб-сайт по умолчанию.
Членство в Администраторах, или эквивалентных группах, на локальном компьютере является минимальным требованием для выполнения этой процедуры. Ознакомьтесь с подробными сведениями об использовании соответствующих учетных записей и членства в группах по умолчанию в локальных и доменных группах.
Экспорт части закрытого ключа сертификата проверки подлинности сервера
На экране запуска введите Диспетчер служб Интернета (IIS) и нажмите клавишу ВВОД.
В дереве консоли щелкните ComputerName.
В центральной области дважды щелкните сертификаты сервера.
В центральной области щелкните правой кнопкой мыши сертификат, который требуется экспортировать, и нажмите кнопку "Экспорт".
В диалоговом окне Сертификат экспорта нажмите кнопку ….
В имени файла введите C:\NameofCertificate и нажмите кнопку "Открыть".
Введите пароль для сертификата, подтвердите его и нажмите кнопку "ОК".
Проверьте успешность экспорта, убедив, что указанный файл создается в указанном расположении.
Это важно
Чтобы этот сертификат можно импортировать в локальное хранилище сертификатов на новом сервере, необходимо передать файл в физический носитель и защитить его безопасность во время транспорта на новый сервер. Крайне важно защитить безопасность закрытого ключа. Если этот ключ скомпрометирован, безопасность всего развертывания AD FS (включая ресурсы в организации и в партнерских организациях ресурсов) скомпрометирована.
Импортируйте экспортируемый сертификат проверки подлинности сервера в хранилище сертификатов на новом сервере перед установкой службы федерации. Сведения о импорте сертификата см. в разделе "Импорт сертификата сервера" (http://go.microsoft.com/fwlink/?LinkId=108283).
Дополнительные ссылки
Контрольный список. Настройка сервера федерации
Контрольный список. Настройка прокси-сервера федерации