Active Directory 联合身份验证服务(AD FS)场中的每个联合服务器都必须有权访问服务器身份验证证书的私钥。 如果要实现联合服务器或 Web 服务器的服务器场,则必须具有单个身份验证证书。 此证书必须由企业证书颁发机构(CA)颁发,并且必须具有可导出的私钥。 服务器身份验证证书的私钥必须可导出,以便它可以提供给场中的所有服务器。
同一概念同样适用于联合服务器代理服务器场,因为服务器场中的所有联合服务器代理必须共享同一服务器身份验证证书的私钥部分。
注释
“AD FS 管理”管理单元是指用作服务通信证书的联合服务器的服务器身份验证证书。
根据此计算机将扮演的角色,在安装了具有私钥的服务器身份验证证书的联合服务器计算机或联合服务器代理计算机上使用此过程。 完成该过程后,可以在场中每台服务器的默认网站上导入此证书。 有关详细信息,请参阅 将服务器身份验证证书导入默认网站。
若要完成此过程,至少需要是本地计算机上的管理员组或等效组中的成员。 查看有关在本地和域默认组中使用合适帐户和组成员身份的详细信息。
导出服务器身份验证证书的私钥部分
在“开始”屏幕上,键入“Internet Information Services (IIS) 管理器”,然后按 ENTER。
在控制台树中,单击 ComputerName。
在中心窗格中,双击 服务器证书。
在中心窗格中,右键单击要导出的证书,然后单击 导出。
在“导出证书”对话框中,单击 ... 按钮。
在 文件名中,键入 C:\NameofCertificate,然后单击 打开。
键入证书的密码,确认密码,然后单击“确定”。
通过确认指定的文件是在指定位置创建的,验证导出是否成功。
重要
若要将此证书导入到新服务器上的本地证书存储,必须将文件传输到物理媒体,并在传输到新服务器期间保护其安全性。 保护私钥的安全性非常重要。 如果此密钥遭到入侵,则整个 AD FS 部署(包括组织和资源合作伙伴组织中的资源)的安全性会遭到入侵。
在安装联合身份验证服务之前,将导出的服务器身份验证证书导入到新服务器上的证书存储中。 有关如何导入证书的信息,请参阅“导入服务器证书”(http://go.microsoft.com/fwlink/?LinkId=108283)。