Active Directory 联合身份验证服务 (AD FS) 场中的每个联合服务器都必须有权访问服务器身份验证证书的私钥。 如果你要实现联合服务器或 Web 服务器的服务器场,你必须具有单一的身份验证证书。 必须由企业证书颁发机构 (CA) 颁发此证书,并且该证书必须具有可导出的私钥。 服务器身份验证证书的私钥必须可导出,以便使其可用于该服务器场中的所有服务器。
从某种意义上说,联合服务器代理场也是同样的概念,场中的所有联合服务器代理必须共享同一服务器身份验证证书的私钥部分。
“AD FS 管理”管理单元是指用作服务通信证书的联合服务器的服务器身份验证证书。
根据此计算机将扮演的角色,在安装了含私钥的服务器身份验证证书的联合服务器计算机或联合服务器代理计算机上使用此过程。 当完成该过程时,就可以在服务器场中的每个服务器的默认网站上导入此证书。 有关详细信息,请参阅
向默认网站导入服务器身份验证证书
。
若要完成此过程,至少需要是本地计算机上的
管理员
组或等效组中的成员。 查看有关使用适当帐户和
本地和域默认组
中组成员身份的详细信息。
导出服务器身份验证证书的私钥部分
在“开始”屏幕上,键入“Internet Information Services (IIS) 管理器”,然后按 ENTER。
在控制台树中单击
“ComputerName”
。
在中间窗格中双击
“服务器证书”
。
在中心窗格中,右键单击要导出的证书,然后单击“导出”
。
在“导出证书”对话框中,单击“...”按钮。
在“文件名”
中,键入
C:\
NameofCertificate
,然后单击“打开”
。
键入证书的密码、进行确认,然后单击“确定”
。
通过确认指定的文件创建在指定的位置上来验证导出成功。
必须将该文件传输到物理媒体,并在传输到新服务器的过程中保护其安全,以便可以将此证书导入到新服务器上的本地证书存储中。 保护私钥的安全非常重要。 如果此密钥泄露,则整个 AD FS 部署(包括组织内的资源和资源伙伴组织中的资源)的安全将受到威胁。
请在安装联合身份验证服务之前,将已导出的服务器身份验证证书导入到新的服务器上的证书存储区。 有关如何导入证书的信息,请参阅“导入服务器证书”(
http://go.microsoft.com/fwlink/?LinkId=108283
)。
清单:设置联合服务器
清单:设置联合服务器代理
联合服务器的证书要求
联合服务器代理的证书要求
