フェデレーション サーバー プロキシの証明書の要件
Secure Sockets Layer (SSL) サーバー認証証明書を使用するには、Active Directory フェデレーション サービス (AD FS) のフェデレーション サーバー プロキシの役割で実行しているサーバーが必要です。 フェデレーション サーバー プロキシは、SSL サーバー認証証明書を使用して、Web クライアントとの Web サーバーのトラフィック通信をセキュリティ保護します。
通常、フェデレーション サーバー プロキシは、エンタープライズ公開キー基盤 (PKI) に含まれないインターネット上のコンピューターに対して公開されます。 したがって、VeriSign などの公的 (第三者) 証明機関 (CA) 発行のサーバー認証証明書を使用してください。
フェデレーション サーバー プロキシ ファームがある場合は、すべてのフェデレーション サーバー プロキシ コンピューターで同じサーバー認証証明書を使用する必要があります。 詳細については、「 When to Create a Federation Server Proxy Farm」を参照してください。
サーバー認証証明書のサブジェクト名が、AD FS 管理スナップインで指定されているフェデレーション サービス名の値と一致していることを確認することが重要です。 この値を検索するには、スナップインを開き、[サービス] を右クリックし、[フェデレーション サービスのプロパティの編集] をクリックして、[フェデレーション サービス名] ボックスで値を探します。
SSL 証明書の使用に関する一般的な情報については、IIS 7.0 での Secure Sockets Layer の構成 (http://go.microsoft.com/fwlink/?LinkID=108544) および IIS 7.0 でのサーバー証明書の構成 (http://go.microsoft.com/fwlink/?LinkID=108545) に関するページを参照してください。
注意
クライアント認証証明書は、AD FS フェデレーション サーバー プロキシには必要ありません。
使用する証明書に証明書失効リスト (CRL) がある場合、証明書が構成されているサーバーは、CRL を配布するサーバーに接続できる必要があります。 CRL の種類によって、使用するポートが決まります。