Active Directory フェデレーション サービス (AD FS) のフェデレーション サーバー プロキシロールで実行されているサーバーは、Secure Sockets Layer (SSL) サーバー認証証明書を使用する必要があります。 フェデレーション サーバー プロキシは、SSL サーバー認証証明書を使用して、Web クライアントとの Web サーバー トラフィック通信をセキュリティで保護します。
フェデレーション サーバー プロキシは、通常、エンタープライズ公開キー 基盤 (PKI) に含まれていないインターネット上のコンピューターに公開されます。 そのため、VeriSign など、パブリック (サード パーティ) 証明機関 (CA) によって発行されたサーバー認証証明書を使用します。
フェデレーション サーバー プロキシ ファームがある場合、すべてのフェデレーション サーバー プロキシ コンピューターで同じサーバー認証証明書を使用する必要があります。 詳細については、「フェデレーション サーバー プロキシ ファームを作成するタイミング」を参照してください。
サーバー認証証明書のサブジェクト名が、AD FS 管理スナップインで指定されているフェデレーション サービス名の値と一致することを確認することが重要です。 この値を見つけるには、スナップインを開き、[サービス 右クリックし、[フェデレーション サービスのプロパティ 編集] をクリックし、[フェデレーション サービス名] テキスト ボックスで値 見つけます。
SSL 証明書の使用に関する一般的な情報については、IIS 7.0 での Secure Sockets Layer の構成 (http://go.microsoft.com/fwlink/?LinkID=108544) と IIS 7.0 でのサーバー証明書の構成 (http://go.microsoft.com/fwlink/?LinkID=108545) を参照してください。
注
AD FS フェデレーション サーバー プロキシでは、クライアント認証証明書は必要ありません。
使用する証明書に証明書失効リスト (CRL) がある場合、構成された証明書を持つサーバーは、CRL を配布するサーバーに接続できる必要があります。 CRL の種類によって、使用されるポートが決まります。