當信賴方同盟伺服器在將新憑證設定為主要解密憑證後,需要解密使用舊憑證所簽發的令牌時,會使用令牌解密憑證。 Active Directory 同盟服務 (AD FS) 會使用 Internet Information Services (IIS) 的安全套接字層 (SSL) 憑證作為預設解密憑證。
Caution
用於令牌解密的憑證對於同盟服務的穩定性至關重要。 因為遺失或非計劃移除為此用途設定的任何憑證可能會中斷服務,因此您應該備份為此用途設定的任何憑證。
您可以使用下列程式,從您導出的檔案,將令牌解密憑證新增至 AD FS 管理嵌入式管理單元。
本機電腦上的 系統管理員成員資格或對等成員資格是完成此程式所需的最低要求。 請檢視有關使用適當帳戶和群組成員資格的詳細資訊,詳情請參閱本機和網域預設群組(http://go.microsoft.com/fwlink/?LinkId=83477).
請新增令牌解密憑證
在 [開始] 畫面上,輸入AD FS 管理,然後按 ENTER。
在主控台樹狀結構中,按兩下 [ 服務],然後按一下 [憑證]。
在 [動作] 窗格中,按一下 [新增 Token-Decrypting 憑證 ] 連結。
在 [瀏覽憑證檔案] 對話框中,瀏覽至您要新增的憑證檔案,選取憑證檔案,然後按一下 [開啟]。