AD FS(Active Directory Federation Services)의 페더레이션 서버에는 공격자가 페더레이션 리소스에 대한 무단 액세스 권한을 얻기 위해 보안 토큰을 변경하거나 위조하는 것을 방지하도록 토큰 서명 인증서가 필요합니다. 모든 토큰 서명 인증서에는 보안 토큰의 디지털 서명에 사용되는(프라이빗 키의 수단) 암호화 프라이빗 키 및 공개 키가 포함됩니다. 이후에 파트너 페더레이션 서버에서 이러한 키를 받은 후 암호화된 보안 토큰의 신뢰성(공개 키를 통해)의 유효성을 확인합니다.
Caution
토큰 서명에 사용되는 인증서는 페더레이션 서비스의 안정성에 매우 중요합니다. 이러한 용도로 구성된 인증서가 손실되거나 의도치 않게 제거되면 서비스가 중단될 수 있으므로 이러한 용도로 구성된 모든 인증서를 백업해야 합니다.
토큰 서명 인증서는 페더레이션 서비스의 신뢰할 수 있는 루트에 연결되어야 합니다. 다음 절차를 사용하여 내보낸 파일에서 토큰 서명 인증서를 AD FS 관리 스냅인에 추가할 수 있습니다.
Membership in Administrators, or equivalent, on the local computer is the minimum required to complete this procedure. 로컬 및 도메인 기본 그룹에서 적절한 계정 및 그룹 멤버십 사용에 대한 세부 정보를 확인하세요. (http://go.microsoft.com/fwlink/?LinkId=83477).
토큰 서명 인증서를 추가하려면
On the Start screen, typeAD FS Management, and then press ENTER.
In the console tree, double-click Service, and then click Certificates.
In the Actions pane, click the Add Token-Signing Certificate link.
인증서 파일 찾아보기 대화 상자에서 추가할 인증서 파일로 이동하고 인증서 파일을 찾은 다음 열기를 클릭합니다.
Additional references
페더레이션 서버에 대한 인증서 요구 사항