添加令牌签名证书
Active Directory 联合身份验证服务 (AD FS) 中的联合服务器要求使用令牌签名证书来防止攻击者在尝试获得对联合资源的非授权访问时更改或伪造安全令牌。 每个令牌签名证书包含用于对安全令牌进行数字签名(通过私钥的方式)的加密私钥和公钥。 以后在伙伴联合服务器接收到这些密钥时,它们会验证加密的安全令牌的真实性(通过公钥的方式)。
注意
用于令牌签名的证书对联合身份验证服务的稳定性至关重要。 由于任何为此目的配置的证书的丢失或非计划删除都可能中断服务,因此应备份任何为此目的配置的证书。
令牌签名证书应链接到联合身份验证服务中受信任的根。 可以使用以下过程从导出的文件将令牌签名证书添加到 AD FS 管理管理单元。
若要完成此过程,至少需要是本地计算机上的管理员组或等效组中的成员。 若要查看有关使用适合的帐户和组成员身份的详细信息,请参阅本地默认组和域默认组 (http://go.microsoft.com/fwlink/?LinkId=83477).
添加令牌签名证书
在“开始”屏幕上,键入“AD FS 管理”,然后按 Enter 键。
在控制台树中,双击“服务”,然后单击“证书”。
在“操作”窗格中,单击“添加令牌签名证书”链接。
在“浏览证书文件”对话框中,导航到要添加的证书文件,选择证书文件,然后单击“打开”。