サーバー認証証明書の秘密キーの部分をエクスポートする
Active Directory フェデレーション サービス (AD FS) ファーム内のすべてのフェデレーション サーバーは、サーバー認証証明書の秘密キーにアクセスできる必要があります。 フェデレーション サーバーまたは Web サーバーのサーバー ファームを実装する場合は、1 つの認証証明書が必要です。 この証明書は、エンタープライズ証明機関 (CA) から発行されたものであると当時に、エクスポート可能な秘密キーを持っていなければなりません。 サーバー認証証明書の秘密キーは、ファーム内のすべてのサーバーが利用できるように、エクスポート可能である必要があります。
これと同じ考え方は、フェデレーション サーバー プロキシファームにも当てはまります。ファーム内のすべてのフェデレーション プロキシは同じ認証証明書の秘密キーの部分を共有する必要があるからです。
注意
AD FS 管理スナップインは、サービス通信証明書としてフェデレーション サーバーのサーバー認証証明書を参照します。
このコンピューターが受け持つ役割に応じて、サーバー認証証明書を秘密キーと共にインストールしたフェデレーション サーバー コンピューターまたはフェデレーション サーバー プロキシ コンピューターでこの手順を使用してください。 手順を完了すると、ファーム内の各サーバーの既定の Web サイトでこの証明書をインポートできるようになります。 詳細については、「サーバー認証証明書を既定の Web サイトにインポートする」を参照してください。
この手順を完了するには、ローカル コンピューター上の Administrators または同等のメンバーシップが最低限必要です。 適切なアカウントの使用方法の詳細を確認し、グループ メンバーシップ ローカルおよびドメインの既定のグループします。
サーバー認証証明書の秘密キーの部分をエクスポートするには
[スタート] 画面で、[インターネット インフォメーション サービス (IIS) マネージャー] をクリックし、ENTER キーを押します。
コンソール ツリーで、[コンピューター名] をクリックします。
中央のペインで、[サーバー証明書] をダブルクリックします。
中央のウィンドウで、エクスポートする証明書を右クリックし、[エクスポート] をクリックします。
[証明書のエクスポート] ダイアログ ボックスで、[…] ボタンをクリックします。
[ファイル名] に、「C:\NameofCertificate」と入力し、[開く] をクリックします。
証明書のパスワードを入力し、確認したら、[OK] をクリックします。
エクスポートが成功したかどうかを検証するには、指定したファイルが指定した場所に作成されていることを確認します。
重要
この証明書を新しいサーバー上のローカル証明書ストアにインポートできるように、ファイルを物理メディアに転送すると共に、新しいサーバーへの移送中にそのセキュリティを保護する必要があります。 秘密キーのセキュリティを保護することはきわめて重要です。 このキーが侵害された場合は、AD FS 展開全体 (組織内のリソースおよびリソース パートナー組織のリソースを含む) のセキュリティが侵害されます。
フェデレーション サービスをインストールする前に、新しいサーバー上の証明書ストアにサーバー認証証明書をインポートします。 証明書をインポートする方法については、「サーバー証明書のインポート (http://go.microsoft.com/fwlink/?LinkId=108283)」を参照してください。