Freigeben über

Exportieren des Bereichs mit dem privaten Schlüssel eines Serverauthentifizierungszertifikats

  • Artikel

Jeder Verbundserver in einer Active Directory-Verbunddienste-(AD FS-)Farm muss Zugriff auf den privaten Schlüssel des Serverauthentifizierungszertifikats haben. Wenn Sie eine Serverfarm mit Verbundservern oder Webservern implementieren, müssen Sie über ein einzelnes Authentifizierungszertifikat verfügen. Dieses Zertifikat muss von einer Unternehmenszertifizierungsstelle ausgestellt sein und einen exportierbaren privaten Schlüssel haben. Der private Schlüssel des Serverauthentifizierungszertifikats muss exportierbar sein, damit er für alle Server in der Farm zur Verfügung gestellt werden kann.

Dasselbe Konzept gilt für Verbundserverproxyfarmen, und zwar so, dass alle Verbundserverproxys in einer Farm denselben privaten Schlüsselbereich desselben Serverauthentifizierungszertifikats verwenden müssen.

Hinweis

Das AD FS-Verwaltungs-Snap-In bezeichnet Serverauthentifizierungszertifikate für Verbundserver als Dienstkommunikationszertifikate.

Je nachdem, welche Rolle dieser Computer spielen wird, verwenden Sie dieses Verfahren auf dem Verbundservercomputer oder dem Verbundserverproxycomputer, auf dem Sie das Serverauthentifizierungszertifikat mit dem privaten Schlüssel installiert haben. Wenn das Verfahren abgeschlossen ist, können Sie dieses Zertifikat dann auf der Standardwebsite jedes Servers in der Farm importieren. Weitere Informationen finden Sie unter Importieren eines Serverauthentifizierungszertifikats zur Standardwebsite.

Zum Ausführen dieses Verfahrens ist mindestens die Mitgliedschaft in der Gruppe Administratoren oder eine gleichwertige Berechtigung auf dem lokalen Computer erforderlich. Informationen zu den entsprechenden Konten und Gruppenmitgliedschaften finden Sie unter Lokale und Domänenstandardgruppen.

So exportieren Sie den Bereich mit dem privaten Schlüssel eines Serverauthentifizierungszertifikats

  1. Geben Sie auf dem Startbildschirm den Text Internetinformationsdienste-(IIS-)Manager ein, und drücken Sie dann die EINGABETASTE.

  2. Klicken Sie in der Konsolenstruktur auf ComputerName.

  3. Doppelklicken Sie im mittleren Bereich auf Serverzertifikate.

  4. Klicken Sie im mittleren Bereich mit der rechten Maustaste auf das zu exportierende Zertifikat, und klicken Sie dann auf Exportieren.

  5. Klicken Sie im Dialogfeld Zertifikat exportieren auf die Schaltfläche.

  6. Geben Sie unter DateinameC:\Name des Zerttifikats ein, und klicken Sie dann auf Öffnen.

  7. Geben Sie das Kennwort für das Zertifikat ein, bestätigen Sie das Kennwort, und klicken Sie dann auf OK.

  8. Überprüfen Sie den Erfolg Ihres Exportvorgangs, indem Sie bestätigen, dass die von Ihnen angegebene Daten am angegebenen Standort erstellt wird.

    Wichtig

    Damit dieses Zertifikat in den lokalen Zertifikatspeicher auf dem neuen Server importiert werden, müssen Sie die Datei auf ein physisches Speichermedium übertragen und ihre Sicherheit während des Transports auf den neuen Server sichern. Es ist äußerst wichtig, die Sicherheit des privaten Schlüssels zu gewähren. Wenn dieser Schlüssel gefährdet ist, ist die Sicherheit Ihrer gesamten AD FS-Bereitstellung (einschließlich der Ressourcen in Ihrer Organisation und in Ressourcenpartnerorganisationen) gefährdet.

  9. Importieren Sie das exportierte Serverauthentifizierungszertifikat in den Zertifikatspeicher auf dem neuen Server, bevor Sie den Verbunddienst installieren. Informationen zum Importieren des Zertifikats finden Sie unter „Importieren eines Serverzertifikats“ (http://go.microsoft.com/fwlink/?LinkId=108283).

Weitere Verweise

Prüfliste: Einrichten eines Verbundservers

Prüfliste: Einrichten eines Verbundserverproxys

Zertifikatanforderungen für Verbundserver

Zertifikatanforderungen für Verbundserverproxys