Token-Decrypting 証明書を追加する
フェデレーション サーバーは、証明書利用者のフェデレーション サーバーが、新しい証明書がプライマリ暗号化解除証明書として設定された後に古い証明書で発行されたトークンを復号化する必要がある場合に、トークン暗号化解除証明書を使用します。 Active Directory フェデレーション サービス (AD FS) は、インターネット インフォメーション サービス (IIS) の Secure Sockets Layer (SSL) 証明書を既定の暗号化解除証明書として使用します。
注意事項
トークンの暗号化解除に使用される証明書は、フェデレーション サービスの安定性にとって重要です。 この目的のために構成された証明書が失われたり、計画外に削除されたりすると、サービスが中断する可能性があるため、この目的のために構成されたすべての証明書をバックアップする必要があります。
次の手順を使用して、エクスポートしたファイルから AD FS 管理スナップインにトークン暗号化解除証明書を追加できます。
この手順を完了するには、ローカル コンピューター上の Administrators または同等のメンバーシップが最低限必要です。 適切なアカウントとグループメンバーシップの使用に関する詳細については、ローカルグループとドメインの既定のグループ (http://go.microsoft.com/fwlink/?LinkId=83477).) を参照してください。
トークン暗号化解除証明書を追加するには
[スタート] 画面で、「AD FS 管理」と入力し、Enter キーを押します。
コンソール ツリーで、[サービス ] をダブルクリックし、[証明書 ] をクリックします。
[操作] ウィンドウで、[証明書 Token-Decrypting 追加] リンクをクリックします。
[ 証明書ファイルの参照 ] ダイアログ ボックスで、追加する証明書ファイルに移動し、証明書ファイルを選択して、[ 開く] をクリックします。