自動証明書ロールオーバーが有効な場合 AD FS がトークン署名証明書の更新を管理します 証明書を手動で管理する場合は 以下の手順に従ってください 新しいトークン署名証明書を取得します 拡張キー使用法 (EKU) に デジタル署名 が含まれることを確認します ...

自動証明書ロールオーバーが有効な場合、AD FS がトークン署名証明書の更新を管理します。
証明書を手動で管理する場合は、以下の手順に従ってください。
新しいトークン署名証明書を取得します。
拡張キー使用法 (EKU) に [デジタル署名] が含まれることを確認します。
サブジェクトまたはサブジェクトの別名 (SAN) には制限がありません。
フェデレーション サーバー、リソース パートナーのフェデレーション サーバー、および証明書利用者アプリケーション サーバーがトークン署名証明書を検証するときに、信頼されたルート証明機関へのチェーンを構築できる必要があることに留意してください。
証明書を、各フェデレーション サーバーのローカル証明書ストアにインストールします。 
各サーバーで証明書インストール ファイル内に証明書の秘密キーがあることを確認します。
フェデレーション サービス アカウントに、新しい証明書の秘密キーへのアクセス権限があることを確認します。
新しい証明書を AD FS に追加します。
[管理ツール] メニューから AD FS 管理を起動します。
[サービス] を展開し、[証明書] を選択します
操作ウィンドウで、[トークン署名証明書の追加...] をクリックします
トークン署名が有効な証明書のリストが表示されます。該当する新しい証明書がリストに含まれない場合は、前の手順に戻り、証明書が秘密キーと関連付けられてローカル コンピューターの個人用ストアに存在することを確認してください。また、証明書にデジタル署名 KU が含まれることを確認してください。
新しいトークン署名証明書を選び、[OK] をクリックします。
トークン署名証明書の変更について、すべての証明書利用者に通知します。
AD FS フェデレーション メタデータを使用する証明書利用者は、新しい証明書の使用を開始するために、新しいフェデレーション メタデータをプルする必要があります。
AD FS フェデレーション メタデータを使用しない証明書利用者は、新しいトークン署名証明書の公開キーを手動で更新する必要があります。証明書利用者と .cer ファイルを共有してください。
新しいトークン署名証明書をプライマリとして設定します。
AD FS 管理で証明書ノードが選択された状態で、[トークン署名] の下に、既存の証明書と新しい証明書の 2 つが表示されているはずです。
新しいトークン署名証明書を選び、右クリックして [プライマリに設定する] を選びます。
既存の証明書は、ロールオーバーのためにセカンダリにしておきます。既存の証明書がロールオーバー用として明らかに必要なくなった時点で、または期限が切れた時点でその証明書を削除することを検討してください。現在のユーザーの SSO セッションがサインインされていることに留意してください。現在の AD FS プロキシ信頼関係では、既存の証明書を使用して署名および暗号化されたトークンを利用しています。