Rufen Sie ein neues Tokensignaturzertifikat ab. Stellen Sie sicher, dass die erweiterte Schlüsselverwaltung (Enhanced Key ...

Rufen Sie ein neues Tokensignaturzertifikat ab.
 Stellen Sie sicher, dass die erweiterte Schlüsselverwaltung (Enhanced Key Usage, EKU) "Digitale Signatur" enthält. 
Für den Antragsteller- oder den alternativen Antragstellernamen (Subject Alternative Name, SAN) gelten keine Einschränkungen. 
Bitte denken Sie daran, dass Ihre Verbundserver, Ihre Ressourcenpartner-Verbundserver und die Anwendungsserver der vertrauenden Seite in der Lage sein müssen, eine Verkettung mit einer vertrauenswürdigen Stammzertifizierungsstelle herzustellen, wenn sie Ihr Tokensignaturzertifikat überprüfen.
Installieren Sie das Zertifikat im lokalen Zertifikatspeicher jedes Verbundservers. 
Stellen Sie sicher, dass die Zertifikatinstallationsdatei den privaten Schlüssel des Zertifikats auf jedem Server enthält.
Stellen Sie sicher, dass das Konto des Verbunddiensts Zugriff auf den privaten Schlüssel des neuen Zertifikats besitzt.
Fügen Sie das neue Zertifikat AD FS hinzu.
Starten Sie die AD FS-Verwaltung über das Menü "Verwaltungstools".
Erweitern Sie den Dienst, und wählen Sie "Zertifikate" aus.
Klicken Sie im Aktionsbereich auf "Tokensignaturschlüssel hinzufügen".
Es wird eine Liste der Zertifikate angezeigt, die für die Tokensignatur gültig sind. Wenn das neue Zertifikat nicht in der Liste vorhanden ist, müssen Sie zu den vorherigen Schritten zurückkehren und sicherstellen, dass sich das Zertifikat im persönlichen Speicher des lokalen Computers befindet, dass ihm ein privater Schlüssel zugeordnet ist und dass für die erweiterte Schlüsselverwaltung digitale Signatur verwendet.
Wählen Sie Ihr neues Tokensignaturzertifikat aus, und klicken Sie dann auf "OK".
Informieren Sie alle vertrauenden Seiten über die Änderung im Tokensignaturzertifikat.
Vertrauende Seiten, die AD FS-Verbundmetadaten nutzen, müssen mithilfe von Pull die neuen Verbundmetadaten übertragen, um das neue Zertifikat verwenden zu können.
Vertrauende Seiten, die KEINE AD FS-Verbundmetadaten nutzen, müssen den öffentlichen Schlüssel des neuen Tokensignaturzertifikats manuell aktualisieren. Geben Sie die CER-Datei für die vertrauenden Seiten frei.
Legen Sie das neue Tokensignaturzertifikat als primäres Zertifikat fest.
Wenn der Knoten "Zertifikate" in der AD FS-Verwaltung ausgewählt ist, sollten nun zwei Zertifikate unter "Tokensignatur" aufgelistet werden: das vorhandene und das neue Zertifikat.
Wählen Sie Ihr neues Tokensignaturzertifikat aus, klicken Sie mit der rechten Maustaste, und wählen Sie dann "Als primär festlegen" aus. 
Belassen Sie das alte Zertifikat für Rolloverzwecke als sekundäres Zertifikat. Sie sollten planen, das alte Zertifikat zu entfernen, sobald Sie sicher sind, dass es nicht mehr für Rolloverzwecke benötigt wird, oder wenn das Zertifikat abgelaufen ist. Bitte denken Sie daran, dass die SSO-Sitzungen aktueller Benutzer signiert sind. Aktuelle AD FS-Proxyvertrauensstellungen verwenden Token, die mithilfe des alten Zertifikats signiert und verschlüsselt wurden.