Freigeben über

Exportieren des Privaten Schlüsselteils eines Serverauthentifizierungszertifikats

Jeder Verbundserver in einer Active Directory-Verbunddienste (AD FS)-Farm muss Zugriff auf den privaten Schlüssel des Serverauthentifizierungszertifikats haben. Wenn Sie eine Serverfarm von Verbundservern oder Webservern implementieren, müssen Sie über ein einzelnes Authentifizierungszertifikat verfügen. Dieses Zertifikat muss von einer Zertifizierungsstelle für Unternehmen ausgestellt werden, und es muss über einen exportierbaren privaten Schlüssel verfügen. Der private Schlüssel des Serverauthentifizierungszertifikats muss exportierbar sein, damit er für alle Server in der Farm verfügbar gemacht werden kann.

Dieses Konzept gilt für Verbundserverproxyfarmen im Sinne, dass alle Verbundserverproxys in einer Farm den privaten Schlüsselteil desselben Serverauthentifizierungszertifikats gemeinsam nutzen müssen.

Note

Das AD FS-Verwaltungs-Snap-In bezieht sich auf Serverauthentifizierungszertifikate für Verbundserver als Dienstkommunikationszertifikate.

Je nachdem, welche Rolle dieser Computer spielt, verwenden Sie dieses Verfahren auf dem Verbundservercomputer oder verbundserverproxycomputer, auf dem Sie das Serverauthentifizierungszertifikat mit dem privaten Schlüssel installiert haben. Wenn Sie das Verfahren abgeschlossen haben, können Sie dieses Zertifikat auf der Standardwebsite jedes Servers in der Farm importieren. Weitere Informationen finden Sie unter Importieren eines Serverauthentifizierungszertifikats in die Standardwebsite.

Die Mitgliedschaft in Administratoren oder gleichwertig auf dem lokalen Computer ist mindestens erforderlich, um dieses Verfahren abzuschließen. Überprüfen Sie Details zur Verwendung der entsprechenden Konten und Gruppenmitgliedschaften bei lokalen und Domänenstandardgruppen.

So exportieren Sie den privaten Schlüsselteil eines Serverauthentifizierungszertifikats

  1. Geben Sie auf dem Startbildschirm den Begriff IIS-Manager (Internet Informationsdienste) ein, und drücken Sie dann die EINGABETASTE.

  2. Klicken Sie in der Konsolenstruktur auf "ComputerName".

  3. Doppelklicken Sie im mittleren Bereich auf Serverzertifikate.

  4. Klicken Sie im mittleren Bereich mit der rechten Maustaste auf das Zertifikat, das Sie exportieren möchten, und klicken Sie dann auf "Exportieren".

  5. Klicken Sie im Dialogfeld "Zertifikat exportieren " auf die Schaltfläche "... ".

  6. Geben Sie unter "Dateiname" "C:\NameofCertificate" ein, und klicken Sie dann auf "Öffnen".

  7. Geben Sie ein Kennwort für das Zertifikat ein, bestätigen Sie es, und klicken Sie dann auf "OK".

  8. Überprüfen Sie den Erfolg Ihres Exports, indem Sie bestätigen, dass die angegebene Datei am angegebenen Speicherort erstellt wurde.

    Important

    Damit dieses Zertifikat in den lokalen Zertifikatspeicher auf dem neuen Server importiert werden kann, müssen Sie die Datei auf physische Medien übertragen und die Sicherheit während des Transports auf den neuen Server schützen. Es ist äußerst wichtig, die Sicherheit des privaten Schlüssels zu schützen. Wenn dieser Schlüssel kompromittiert ist, wird die Sicherheit Ihrer gesamten AD FS-Bereitstellung (einschließlich Ressourcen innerhalb Ihrer Organisation und in Ressourcenpartnerorganisationen) kompromittiert.

  9. Importieren Sie das exportierte Serverauthentifizierungszertifikat in den Zertifikatspeicher auf dem neuen Server, bevor Sie den Verbunddienst installieren. Informationen zum Importieren des Zertifikats finden Sie unter Importieren eines Serverzertifikats (http://go.microsoft.com/fwlink/?LinkId=108283).

Weitere Verweise

Prüfliste: Einrichten eines Verbundservers

Prüfliste: Einrichten eines Verbundserverproxys

Zertifikatanforderungen für Verbundserver

Zertifikatanforderungen für Verbundserverproxys

  • Last updated on