Active Directory 联合身份验证服务(AD FS)中的联合服务器需要令牌签名证书,以防止攻击者更改或伪造安全令牌,从而试图获得对联合资源的未经授权的访问。 每个令牌签名证书都包含用于对安全令牌进行数字签名(通过私钥)进行数字签名的加密密钥和公钥。 稍后,在合作伙伴联合服务器收到这些密钥后,它们会验证加密安全令牌的真实性(通过公钥)。
Caution
用于令牌签名的证书对于联合身份验证服务的稳定性至关重要。 由于出于此目的而配置的任何证书丢失或计划外删除可能会中断服务,因此应备份为此配置的任何证书。
令牌签名证书应链接到联合身份验证服务中受信任的根。 可以使用以下过程从导出的文件将令牌签名证书添加到 AD FS 管理管理单元。
在本地计算机上, 管理员或等效成员身份是完成此过程所需的最低要求。 请查看在 本地和域默认组 中使用相应帐户和组成员身份的详细信息(http://go.microsoft.com/fwlink/?LinkId=83477).
添加令牌签名证书
在 “开始” 屏幕上,键入AD FS 管理,然后按 Enter。
在控制台树中,双击 “服务”,然后单击“ 证书”。
在 “作 ”窗格中,单击“ 添加 Token-Signing 证书 ”链接。
在“ 浏览证书文件 ”对话框中,导航到要添加的证书文件,选择证书文件,然后单击“ 打开”。