新增權杖簽署憑證
Active Directory Federation Services (AD FS) 中的同盟伺服器需要權杖簽署憑證讓攻擊者無法在其嘗試中改變或盜用安全性權杖,而未經授權存取同盟資源。 每一權杖簽署憑證包含密碼編譯私密金鑰與公開金鑰,可用來為安全性權杖進行數位簽章 (藉由私密金鑰)。 稍後,夥伴同盟伺服器接收到它們之後,這些金鑰會驗證加密安全性權杖的真實性 (藉由公開金鑰)。
警告
用於權杖簽署的憑證對於同盟服務的穩定性至關重要。 因為遺失或意外移除基於此目的設定的任何憑證都會中斷服務,所以您應該備份基於此目的設定的所有憑證。
權杖簽署憑證應該鏈結至同盟服務中的受根信任目錄。 您可以使用下列程序,從您匯出的檔案,將權杖簽署憑證新增至 AD FS 管理嵌入式管理單元。
若要完成此程序,至少需要本機電腦之 Administrators 群組的成員資格或同等權限。 請參閱本機與網域的預設群組中關於使用適當帳戶和群組成員資格的詳細資料 (http://go.microsoft.com/fwlink/?LinkId=83477).
新增權杖簽署憑證
在 [開始] 畫面上,輸入 AD FS 管理,然後按 ENTER。
在主控台樹中,按兩下 [服務],然後按一下 [憑證]。
按一下 [動作] 窗格中的 [新增權杖簽署憑證] 連結。
在 [瀏覽憑證檔案] 對話方塊中,瀏覽至您要新增的憑證檔案 ,選取憑證檔案,然後按一下 [開啟]。