Active Directory フェデレーション サービス (AD FS) ファーム内のすべてのフェデレーション サーバーは、サーバー認証証明書の秘密キーにアクセスできる必要があります。 フェデレーション サーバーまたは Web サーバーのサーバー ファームを実装する場合は、1 つの認証証明書が必要です。 この証明書は、エンタープライズ証明機関 (CA) によって発行され、エクスポート可能な秘密キーを持っている必要があります。 ファーム内のすべてのサーバーで使用できるように、サーバー認証証明書の秘密キーをエクスポート可能にする必要があります。
この同じ概念は、ファーム内のすべてのフェデレーション サーバー プロキシが同じサーバー認証証明書の秘密キー部分を共有する必要があるという意味で、フェデレーション サーバー プロキシ ファームにも当てはまります。
注
AD FS 管理スナップインは、フェデレーション サーバーのサーバー認証証明書をサービス通信証明書として参照します。
このコンピューターが果たす役割に応じて、秘密キーを使用してサーバー認証証明書をインストールしたフェデレーション サーバー コンピューターまたはフェデレーション サーバー プロキシ コンピューターで、この手順を使用します。 手順が完了したら、ファーム内の各サーバーの既定の Web サイトにこの証明書をインポートできます。 詳細については、「 サーバー認証証明書を既定の Web サイトにインポートする」を参照してください。
この手順を完了するには、ローカル コンピューター上の Administrators または同等のメンバーシップが最低限必要です。 ローカルおよびドメインの既定のグループで、適切なアカウントおよびグループメンバーシップの使用方法に関する詳細を確認します。
サーバー認証証明書の秘密キー部分をエクスポートするには
スタート画面で「インターネットインフォメーションサービス(IIS)マネージャー」と入力し、Enter キーを押します。
コンソール ツリーで「ComputerName」をクリックします。
中央のウィンドウで、[サーバー証明書] をダブルクリックします。
中央のウィンドウで、エクスポートする証明書を右クリックし、[ エクスポート] をクリックします。
[ 証明書のエクスポート ] ダイアログ ボックスで、[ ... ] ボタンをクリックします。
[ ファイル名] に「 C:\NameofCertificate」と入力し、[ 開く] をクリックします。
証明書のパスワードを入力して確認し、[OK] をクリック します。
指定したファイルが指定した場所に作成されていることを確認して、エクスポートが成功したことを確認します。
重要
この証明書を新しいサーバーのローカル証明書ストアにインポートできるようにするには、物理メディアにファイルを転送し、新しいサーバーへの転送中にそのセキュリティを保護する必要があります。 秘密キーのセキュリティを保護することは非常に重要です。 このキーが侵害された場合、AD FS デプロイ全体 (組織内およびリソース パートナー組織内のリソースを含む) のセキュリティが侵害されます。
フェデレーション サービスをインストールする前に、エクスポートしたサーバー認証証明書を新しいサーバーの証明書ストアにインポートします。 証明書をインポートする方法については、「サーバー証明書のインポート (http://go.microsoft.com/fwlink/?LinkId=108283)」を参照してください。
その他の参照情報
フェデレーションサーバープロキシの証明書要件