Active Directory 同盟服務 (AD FS) 伺服器陣列中的每個同盟伺服器都必須能夠存取伺服器驗證憑證的私鑰。 如果您要實作同盟伺服器或網頁伺服器的伺服器陣列,則必須擁有單一驗證憑證。 此憑證必須由企業證書頒發機構單位 (CA) 簽發,而且必須具有可導出的私鑰。 伺服器驗證憑證的私鑰必須可匯出,才能提供給伺服器陣列中的所有伺服器使用。
這個相同的概念也適用於同盟伺服器代理的伺服器陣列,也就是說,伺服器陣列中的所有同盟伺服器代理都必須共用相同伺服器驗證憑證的私鑰部分。
備註
AD FS 管理嵌入式管理單元將同盟伺服器的伺服器驗證憑證稱為服務通訊憑證。
根據這部電腦將扮演的角色,請在您已安裝伺服器驗證憑證及私鑰的同盟伺服器電腦或同盟伺服器代理電腦上使用此程序。 當您完成此程序時,就可以在伺服器群組內每台伺服器的預設網站上匯入此憑證。 如需詳細資訊,請參閱 將伺服器驗證憑證匯入預設網站。
Membership in Administrators, or equivalent, on the local computer is the minimum required to complete this procedure. Review details about using the appropriate accounts and group memberships at Local and Domain Default Groups.
匯出伺服器驗證憑證的私鑰部分
On the Start screen, typeInternet Information Services (IIS) Manager, and then press ENTER.
在主控台樹中,按一下 ComputerName。
In the center pane, double-click Server Certificates.
In the center pane, right-click the certificate that you want to export, and then click Export.
在 [匯出憑證] 對話框中,按兩下 [...] 按鈕。
在 [檔名]中,輸入 C:\NameofCertificate,然後按兩下 [開啟]。
輸入憑證的密碼,加以確認,然後按兩下 [確定] [確定]。
確認您在指定位置建立的檔案,以驗證匯出是否成功。
這很重要
若要將此憑證匯入新伺服器上的本機證書存儲,您必須將檔案傳輸至實體媒體,並在傳輸至新伺服器期間保護其安全性。 保護私鑰的安全性非常重要。 如果此金鑰遭到入侵,則整個 AD FS 部署的安全性(包括組織內的資源和資源夥伴組織)會遭到入侵。
在安裝同盟服務之前,請先將導出的伺服器驗證憑證匯入新伺服器上的證書存儲。 如需如何匯入憑證的資訊,請參閱匯入伺服器證書 (http://go.microsoft.com/fwlink/?LinkId=108283)。