Wenn automatischer Zertifikatrollover aktiviert ist, verwaltet AD FS das Tokenentschlüsselungszertifikat. Wenn Sie Ihr Zertifikat ...

Wenn automatischer Zertifikatrollover aktiviert ist, verwaltet AD FS das Tokenentschlüsselungszertifikat.
Wenn Sie Ihr Zertifikat manuell verwalten, befolgen Sie bitte die unten angegebenen Anweisungen.
Rufen Sie ein neues Tokenentschlüsselungszertifikat ab.
Stellen Sie sicher, dass die erweiterte Schlüsselverwaltung (Enhanced Key Usage, EKU) "Schlüsselchiffrierung" enthält.
Für den Antragsteller- oder den alternativen Antragstellernamen (Subject Alternative Name, SAN) gelten keine Einschränkungen.
Bitte denken Sie daran, dass Ihre Verbundserver und Anspruchsanbieterpartner in der Lage sein müssen, eine Verkettung mit einer vertrauenswürdigen Stammzertifizierungsstelle herzustellen, wenn sie Ihr Tokenentschlüsselungszertifikat überprüfen.
Entscheiden Sie, wie Ihre Anspruchsanbieterpartner dem neuen Tokenentschlüsselungszertifikat vertrauen.
Bitten Sie die Partner, die Verbundmetadaten nach dem Aktualisieren des Zertifikats mithilfe von Pull zu übertragen.
Geben Sie den öffentlichen Schlüssel des neuen Zertifikats (CER-Datei) für die Partner frei. Starten Sie auf dem AD FS-Server des Anspruchsanbieterpartners die AD FS-Verwaltung über das Menü "Verwaltungstools". Wählen Sie unter "Vertrauensstellungen/Vertrauensstellungen der vertrauenden Seite" die Vertrauensstellung aus, die für Sie erstellt wurde. Klicken Sie unter "Eigenschaften/Verschlüsselung" auf "Durchsuchen", um das neue Tokenentschlüsselungszertifikat auszuwählen, und klicken Sie dann auf "OK".
Installieren Sie das Zertifikat im lokalen Zertifikatspeicher auf jedem Verbundserver.
Stellen Sie sicher, dass die Zertifikatinstallationsdatei den privaten Schlüssel des Zertifikats auf jedem Server enthält.
Stellen Sie sicher, dass das Konto des Verbunddiensts Zugriff auf den privaten Schüssel des neuen Zertifikats besitzt.
Fügen Sie das neue Zertifikat AD FS hinzu.
Starten Sie die AD FS-Verwaltung über das Menü "Verwaltungstools".
Erweitern Sie den Dienst, und wählen Sie "Zertifikate" aus.
Klicken Sie im Aktionsbereich auf " Tokenentschlüsselungszertifikat hinzufügen".
Es wird eine Liste der Zertifikate angezeigt, die für die Tokenentschlüsselung gültig sind. Wenn das neue Zertifikat nicht in der Liste vorhanden ist, müssen Sie zu den vorherigen Schritten zurückkehren und sicherstellen, dass sich das Zertifikat im persönlichen Speicher des lokalen Computers befindet, dass ihm ein privater Schlüssel zugeordnet ist, und dass für die erweiterte Schlüsselverwaltung Schlüsselchiffrierung verwendet wird.
Wählen Sie Ihr neues Tokenentschlüsselungszertifikat aus, und klicken Sie dann auf "OK".
Legen Sie das neue Tokenentschlüsselungszertifikat als primäres Zertifikat fest.
Wenn der Knoten "Zertifikate" in der AD FS-Verwaltung ausgewählt ist, sollten nun zwei Zertifikate unter "Tokenentschlüsselung" aufgelistet werden: das vorhandene und das neue Zertifikat.
Wählen Sie Ihr neues Tokenentschlüsselungszertifikat aus, klicken Sie mit der rechten Maustaste, und wählen Sie dann "Als primär festlegen" aus.
Belassen Sie das alte Zertifikat für Rolloverzwecke als sekundäres Zertifikat. Sie sollten planen, das alte Zertifikat zu entfernen, sobald Sie sicher sind, dass es nicht mehr für Rolloverzwecke benötigt wird, oder wenn das Zertifikat abgelaufen ist.