Esportare la parte di chiave privata di un certificato di autenticazione server
Ogni server federativo in una farm di Active Directory Federation Services (AD FS) deve avere accesso alla chiave privata del certificato di autenticazione server. Se si implementa una server farm di server federativi o di server Web, è necessario avere un singolo certificato di autenticazione, che deve essere emesso da un'autorità di certificazione globale (enterprise) e deve avere una chiave privata esportabile. La chiave privata del certificato di autenticazione server deve essere esportabile in modo che possa essere resa disponibile a tutti i server della farm.
Lo stesso concetto vale per le farm del proxy server federativo, nel senso che tutti i proxy server federativi di una farm devono condividere la parte di chiave privata dello stesso certificato di autenticazione server.
Nota
Snap di gestione di AD FS in si riferisce ai certificati di autenticazione server per i server federativi come certificati per le comunicazioni del servizio.
A seconda del ruolo che verrà svolto dal computer, eseguire questa procedura nel computer server federativo o nel computer proxy server federativo in cui è stato installato il certificato di autenticazione server con la chiave privata. Al termine della procedura, è quindi possibile importare il certificato nel sito Web predefinito di ogni server della farm. Per altre informazioni, vedere Importare un certificato di autenticazione server nel sito Web predefinito.
L'appartenenza al gruppo Administrators, o a un gruppo equivalente, nel computer locale è il requisito minimo per eseguire questa procedura. Informazioni dettagliate sull'utilizzo degli account appropriati e appartenenze dominio gruppi predefiniti locali e.
Per esportare la parte di chiave privata di un certificato di autenticazione server
Nella schermata Start digitareGestione Internet Information Services (IIS), quindi premere INVIO.
Nella struttura della console, fare clic su Nome computer.
Nel riquadro di sinistra, fare doppio clic su Certificati server.
Nel riquadro centrale fare clic con il pulsante destro del mouse sul certificato da esportare, quindi scegliere Esporta.
Nella finestra di dialogo Esporta certificato fare clic sul pulsante ….
In Nome file immettere C:\NomeCertificato, quindi fare clic su Apri.
Immettere una password per il certificato, confermarla e quindi fare clic su OK.
Convalidare l'esito positivo dell'esportazione verificando che il file specificato è stato creato nel percorso indicato.
Importante
Per poter importare questo certificato nell'archivio certificati locali del nuovo server, è necessario trasferire il file nel supporto fisico e proteggerne la sicurezza durante il trasporto. È estremamente importante proteggere la sicurezza della chiave privata. Se la chiave viene compromessa, infatti, la sicurezza dell'intera distribuzione di AD FS, incluse le risorse dell'organizzazione e quelle delle organizzazioni partner risorse, sarà messa a rischio.
Importare il certificato di autenticazione server esportato nell'archivio certificati del nuovo server prima di installare il Servizio federativo. Per informazioni su come importare il certificato, vedere Importare un certificato del server (http://go.microsoft.com/fwlink/?LinkId=108283).
Altri riferimenti
Elenco di controllo: Configurazione di un server federativo
Elenco di controllo: Configurazione di un Proxy Server federativo