Active Directory 联合身份验证服务(AD FS)要求在联合服务器场中的每个联合服务器上使用安全套接字层(SSL)服务器身份验证证书。 可以在场中的每台联合服务器上使用同一个证书。 必须同时提供证书及其私钥。 例如,如果在 .pfx 文件中拥有证书及其私钥,则可以将该文件直接导入 Active Directory 联合身份验证服务配置向导。 此 SSL 证书必须包含以下项:
使用者名称和使用者可选名称必须包含联合身份验证服务名称,例如 fs.contoso.com。
使用者可选名称必须包含 enterpriseregistration 值,后接组织的用户主体名称 (UPN) 后缀,例如 enterpriseregistration.corp.contoso.com。
警告
如果计划为工作区加入启用设备注册服务 (DRS),请指定使用者可选名称。
重要
如果你的组织使用多个 UPN 后缀,并且你计划启用 DRS,则 SSL 证书必须包含每个后缀的使用者可选名称条目。