자동 인증서 롤오버를 사용하도록 설정하면 AD FS에서 토큰 서명 인증서 업데이트를 관리합니다. 인증서를 수동으로 관리한다면 다음의 지침을 따르세요. 새 토큰 서명 인증서를 가져옵니다. EKU(확장된 키 사용)에 "디지털 ...

자동 인증서 롤오버를 사용하도록 설정하면 AD FS에서 토큰 서명 인증서 업데이트를 관리합니다.
인증서를 수동으로 관리한다면 다음의 지침을 따르세요.
새 토큰 서명 인증서를 가져옵니다.
EKU(확장된 키 사용)에 "디지털 서명"이 포함되어 있는지 확인합니다.
주체 또는 SAN(주체 대체 이름)에 아무런 제한 사항이 없습니다.
페더레이션 서버, 리소스 파트너 페더레이션 서버 및 신뢰 당사자 응용 프로그램 서버가 토큰 서명 인증서의 유효성을 검사할 때 신뢰할 수 있는 루트 인증 기관과 연결될 수 있어야 합니다.
인증서를 각 페더레이션 서버의 로컬 인증서 저장소에 설치합니다.
각 서버에서 인증서 설치 파일에 인증서의 개인 키가 있는지 확인합니다.
페더레이션 서비스 계정에 새 인증서의 개인 키에 대한 액세스 권한이 있는지 확인합니다.
새 인증서를 AD FS에 추가합니다.
[관리 도구] 메뉴에서 [AD FS 관리]를 시작합니다.
[서비스]를 확장하고 [인증서]를 선택합니다.
[작업] 창에서 [토큰 서명 인증서 추가...]를 클릭합니다.
토큰 서명에 유효한 인증서 목록이 표시됩니다. 새 인증서가 이 목록에 표시되지 않으면 이전 단계로 되돌아가 개인 키와 연결된 로컬 컴퓨터 개인 저장소에 이 인증서가 있는지, 인증서에 디지털 서명 KU가 포함되어 있는지 확인해야 합니다.
새 토큰 서명 인증서를 선택하고 [확인]을 클릭합니다.
모든 신뢰 당사자에게 토큰 서명 인증서의 변경 사항을 알립니다.
AD FS 페더레이션 메타데이터를 사용하는 신뢰 당사자가 새 인증서를 사용하려면 새 페더레이션 메타데이터를 끌어와야 합니다.
AD FS 페더레이션 메타데이터를 사용하지 않는 신뢰 당사자는 새 토큰 서명 인증서의 개인 키를 수동으로 업데이트해야 합니다. .cer 파일을 신뢰 당사자와 공유합니다.
새 토큰 서명 인증서를 [기본]으로 설정합니다.
[AD FS 관리]에서 [인증서] 노드가 선택되어 있으면 [토큰 서명]에 두 가지 인증서, 즉 기존 인증서와 새 인증서가 표시됩니다.
새 토큰 서명 인증서를 선택하고 마우스 오른쪽 단추로 클릭하여 [기본으로 설정]을 선택합니다.
이전 인증서는 롤오버 용도의 보조 인증서로 남겨둡니다. 하지만 이전 인증서가 롤오버에 더 이상 필요하지 않은 것으로 판단되거나 만료된 경우에는 이전 인증서를 제거해야 합니다. 현재 사용자의 SSO 세션이 서명됩니다. 현재 AD FS 프록시 트러스트 관계는 이전 인증서를 통해 서명되고 암호화된 토큰을 사용합니다.