Экспорт части сертификата аутентификации сервера с закрытым ключом
Каждый сервер федерации в ферме службы федерации Active Directory (AD FS) (AD FS) должен иметь доступ к закрытому ключу сертификата проверки подлинности сервера. Если вы реализуете ферму серверов федерации или веб-серверов, у вас должен быть один сертификат проверки подлинности. Этот сертификат выдается центром сертификации предприятия, и у него должен иметься экспортируемый закрытый ключ. Закрытый ключ сертификата аутентификации сервера должен быть экспортируемым, чтобы его можно было предоставить всем серверам на ферме.
Эта же концепция относится к фермам прокси-серверов федерации в том смысле, что все прокси-серверы федерации в ферме должны совместно использовать часть закрытого ключа одного сертификата проверки подлинности сервера.
Примечание.
Оснастка управления AD FS ссылается на сертификаты проверки подлинности сервера для серверов федерации в качестве сертификатов связи службы.
В зависимости от того, какую роль будет играть этот компьютер, используйте эту процедуру на компьютере сервера федерации или прокси-компьютере сервера федерации, где установлен сертификат проверки подлинности сервера с закрытым ключом. По окончании процедуры можно импортировать этот сертификат на веб-сайт по умолчанию каждого сервера на ферме. Дополнительные сведения см. в разделе "Импорт сертификата проверки подлинности сервера" на веб-сайт по умолчанию.
Для выполнения этой процедуры требуется членство в группе Администраторы или в эквивалентной группе на локальном компьютере. Дополнительные сведения об использовании соответствующих учетных записей и членстве в группах см. в статье Local and Domain Default Groups (Локальные и доменные группы по умолчанию).
Экспорт части сертификата аутентификации сервера с закрытым ключом
На начальном экране введите диспетчер службы IIS (IIS) и нажмите клавишу ВВОД.
В дереве консоли щелкните Имя_компьютера.
В центральной области дважды щелкните Сертификаты сервера.
В центральной области щелкните правой кнопкой мыши сертификат, который требуется экспортировать, а затем нажмите кнопку Экспорт.
В диалоговом окне экспорта сертификата нажмите кнопку ....
В имени файла введите C:\NameofCertificate и нажмите кнопку "Открыть".
Введите пароль для сертификата, подтвердите его и нажмите кнопку ОК.
Проверьте, успешно ли выполнен экспорт, убедившись, что заданный файл создан в заданном расположении.
Внимание
Для того чтобы этот сертификат можно было импортировать в локальное хранилище сертификатов на новом сервере, необходимо переместить файл на физический носитель и обеспечить его безопасность во время переноса на новый сервер. Очень важно обеспечить безопасность закрытого ключа. Если этот ключ скомпрометирован, безопасность всего развертывания AD FS (включая ресурсы в организации и в партнерских организациях ресурсов) скомпрометирована.
Импортируйте экспортированный сертификат аутентификации сервера в хранилище сертификатов на новом сервере до установки службы федерации. Сведения о импорте сертификата см. в разделе "Импорт сертификата сервера" (http://go.microsoft.com/fwlink/?LinkId=108283).
Дополнительная справка
Контрольный список. Настройка сервера федерации
Контрольный список. Настройка прокси-сервера федерации