Active Directory 同盟服務 (AD FS) 中的同盟伺服器需要令牌簽署憑證,以防止攻擊者改變或偽造安全性令牌,以嘗試取得未經授權的同盟資源存取權。 每個令牌簽署憑證都包含密碼編譯私鑰和公鑰,這些金鑰用來數位簽署(透過私鑰)安全性令牌。 稍後,在合作夥伴同盟伺服器收到這些密鑰之後,他們會驗證加密安全性令牌的真實性(透過公鑰)。
Caution
用於令牌簽署的憑證對於同盟服務的穩定性至關重要。 因為遺失或非計劃移除為此用途設定的任何憑證可能會中斷服務,因此您應該備份為此用途設定的任何憑證。
令牌簽署憑證應該鏈結至同盟服務中的受信任根目錄。 您可以使用下列程式,從您導出的檔案,將令牌簽署憑證新增至 AD FS 管理嵌入式管理單元。
本機電腦上的 系統管理員成員資格或對等成員資格是完成此程式所需的最低要求。 請檢視有關使用適當帳戶和群組成員資格的詳細資訊,詳情請參閱本機和網域預設群組(http://go.microsoft.com/fwlink/?LinkId=83477).
若要新增令牌簽署憑證
在 [開始] 畫面上,輸入AD FS 管理,然後按 ENTER。
在主控台樹狀結構中,按兩下 [ 服務],然後按一下 [憑證]。
在 [動作] 窗格中,按一下 [新增 Token-Signing 憑證 ] 連結。
在 [瀏覽憑證檔案] 對話框中,瀏覽至您要新增的憑證檔案,選取憑證檔案,然後按一下 [開啟]。