자동 인증서 롤오버를 사용하도록 설정하면 AD FS에서 토큰 암호 해독 인증서를 관리합니다. 인증서를 수동으로 관리한다면 아래의 지침을 따르세요. 새 토큰 암호 해독 인증서를 가져옵니다. EKU(확장된 키 사용)에 "키 ...

자동 인증서 롤오버를 사용하도록 설정하면 AD FS에서 토큰 암호 해독 인증서를 관리합니다.
인증서를 수동으로 관리한다면 아래의 지침을 따르세요.
새 토큰 암호 해독 인증서를 가져옵니다.
EKU(확장된 키 사용)에 "키 암호화"가 포함되어 있는지 확인합니다.
주체 또는 SAN(주체 대체 이름)에 아무런 제한 사항이 없습니다.
페더레이션 서버와 클레임 공급자 파트너가 토큰 암호 해독 인증서의 유효성을 검사할 때 신뢰할 수 있는 루트 인증 기관과 연결될 수 있어야 합니다.
클레임 공급자 파트너가 새로운 토큰 암호 해독 인증서를 신뢰하는 방법을 결정합니다.
파트너에게 인증서 업데이트 후 페더레이션 메타데이터를 끌어오도록 요청합니다.
새 인증서의 공개 키(.cer 파일)를 파트너와 공유합니다. 클레임 공급자 파트너의 AD FS 서버에서 관리 도구 메뉴를 통해 AD FS 관리를 시작합니다. [트러스트 관계/신뢰 당사자 트러스트]에서 사용자용으로 만들어진 트러스트를 선택합니다. [속성/암호화]에서 [찾아보기]를 클릭하여 새 토큰 암호 해독 인증서를 선택한 다음 [확인]을 클릭합니다.
인증서를 각 페더레이션 서버의 로컬 인증서 저장소에 설치합니다.
인증서 설치 파일에 각 서버의 인증서에 대한 개인 키가 있는지 확인합니다.
페더레이션 서비스 계정에 새 인증서의 개인 키에 대한 액세스 권한이 있는지 확인합니다.
새 인증서를 AD FS에 추가합니다.
[관리 도구] 메뉴에서 [AD FS 관리]를 시작합니다.
[서비스]를 확장하고 [인증서]를 선택합니다.
[작업] 창에서 [토큰 암호 해독 인증서 추가]를 클릭합니다.
토큰 암호 해독에 유효한 인증서 목록이 표시됩니다. 새 인증서가 이 목록에 표시되지 않으면 이전 단계로 되돌아가 개인 키와 연결된 로컬 컴퓨터 개인 저장소에 이 인증서가 있는지, 인증서에 키 암호화가 확장 키 사용으로 포함되어 있는지 확인해야 합니다.
새 토큰 암호 해독 인증서를 선택하고 [확인]을 클릭합니다.
새 토큰 암호 해독 인증서를 [기본]으로 설정합니다.
[AD FS 관리]에 [인증서] 노드가 선택되어 있으면 이제 토큰 암호 해독에 두 가지 인증서, 즉 기존 인증서와 새 인증서가 표시됩니다.
새 토큰 암호 해독 인증서를 선택하고 마우스 오른쪽 단추로 클릭하여 [기본으로 설정]을 선택합니다.
이전 인증서는 롤오버 용도의 보조 인증서로 남겨둡니다. 하지만 이전 인증서가 롤오버에 더 이상 필요하지 않은 것으로 판단되거나 만료된 경우에는 이전 인증서를 제거해야 합니다.