当信赖方联合服务器在将新证书设置为主解密证书后必须解密使用旧证书颁发的令牌时,联合服务器使用令牌解密证书。 Active Directory 联合身份验证服务(AD FS)使用 Internet 信息服务(IIS)的安全套接字层(SSL)证书作为默认解密证书。
谨慎
用于令牌解密的证书对于联合身份验证服务的稳定性至关重要。 由于出于此目的而配置的任何证书丢失或计划外删除可能会中断服务,因此应备份为此配置的任何证书。
可以使用以下过程从导出的文件将令牌解密证书添加到 AD FS 管理管理单元。
在本地计算机上, 管理员或等效成员身份是完成此过程所需的最低要求。 若要查看有关使用适合的帐户和组成员身份的详细信息,请参阅本地默认组和域默认组(http://go.microsoft.com/fwlink/?LinkId=83477).
添加令牌解密证书
在 “开始” 屏幕上,键入AD FS 管理,然后按 Enter。
在控制台树中,双击 “服务”,然后单击“ 证书”。
在“操作”窗格中,单击“添加 Token-Decrypting 证书”链接。
在“ 浏览证书文件 ”对话框中,导航到要添加的证书文件,选择证书文件,然后单击“ 打开”。