Se il rollover automatico dei certificati è abilitato, AD FS gestisce il certificato per la decrittografia di token. Se si ...

Se il rollover automatico dei certificati è abilitato, AD FS gestisce il certificato per la decrittografia di token.
Se si gestisce il certificato manualmente, eseguire questa procedura.
Ottenere un nuovo certificato per la decrittografia di token.
Assicurarsi che l'utilizzo chiavi avanzato includa la "crittografia chiave".
Il soggetto o il nome alternativo del soggetto non devono presentare limitazioni.
Tenere presente che i partner dei server federativi e dei provider di attestazioni devono essere in grado di eseguire la concatenazione a un'autorità di certificazione radice attendibile durante la convalida del certificato per la decrittografia di token.
Decidere la modalità usata dai partner per considerare attendibile il nuovo certificato per la decrittografia di token
Chiedere ai partner di eseguire il pull dei metadati federativi dopo aver aggiornato il certificato.
Condividere la chiave pubblica del nuovo certificato (file .cer) con i partner. Nel server AD FS del partner del provider di attestazioni avviare lo snap-in di gestione di AD FS dal menu Strumenti di amministrazione. In Relazioni di trust/Trust relying party selezionare il trust creato. In Proprietà/Crittografia fare clic su "Sfoglia" per selezionare il nuovo certificato per la decrittografia di token e scegliere OK.
Installare il certificato nell'archivio certificati locale di ogni server federativo.
Assicurarsi che il file di installazione del certificato contenga la chiave privata del certificato in ogni server.
Verificare che l'account del servizio federativo possa accedere alla nuova chiave privata del certificato.
Aggiungere il nuovo certificato in AD FS
Avviare lo snap-in di gestione di AD FS dal menu Strumenti di amministrazione
Espandere Servizio e selezionare Certificati
Nel riquadro Azioni fare clic su Aggiungi certificato per la decrittografia di token
Verrà visualizzato un elenco di certificati validi per la decrittografia token. Se il nuovo certificato non è visualizzato nell'elenco, è necessario tornare indietro e verificare che il certificato sia presente nell'archivio personale del computer locale, abbia una chiave privata associata e che il certificato presenti la crittografia chiave come Utilizzo chiavi avanzato.
Selezionare il nuovo certificato per la decrittografia di token e fare clic su OK.
Impostare il nuovo certificato per la decrittografia di token come primario.
Dopo aver selezionato il nodo Certificati nello snap-in di gestione di AD FS, dovrebbero essere visualizzati due certificati nell'elenco Decrittografia token: il certificato esistente e quello nuovo.
Selezionare il nuovo certificato per la decrittografia di token, fare clic con il pulsante destro del mouse e scegliere Imposta come primario.
Lasciare il certificato precedente come secondario ai fini del rollover. Sarà possibile rimuovere il certificato precedente quando si è sicuri che non sia più necessario per il rollover o una volta scaduto.