Si la sustitución automática de certificados está habilitada, AD FS administra el certificado de descifrado de tokens. Si ...

Si la sustitución automática de certificados está habilitada, AD FS administra el certificado de descifrado de tokens.
Si administra su certificado manualmente, siga las siguientes instrucciones.
Obtenga un nuevo certificado de descifrado de tokens.
Asegúrese de que el uso mejorado de clave (EKU) incluya "cifrado de clave".
El firmante o el nombre alternativo del firmante (SAN) no tienen ninguna restricción.
Recuerde que los servidores de federación y los asociados del proveedor de notificaciones deben poder conectar con una entidad de certificación raíz de confianza al validar su certificado de descifrado de tokens.
Decida el nivel de confianza que tendrán sus asociados del proveedor de notificaciones con el nuevo certificado de descifrado de tokens
Pida a los asociados que extraigan los metadatos de federación una vez hayan actualizado el certificado.
Comparta la clave pública del nuevo certificado (archivo .cer) con los asociados. En el servidor de AD FS del asociado del proveedor de notificaciones, inicie Administración de AD FS desde el menú Herramientas administrativas. En las relaciones de confianza/relaciones de confianza para usuario autenticado, seleccione la confianza que se ha creado para usted. En Propiedades/Cifrado, haga clic en "Examinar" para seleccionar el nuevo certificado de descifrado de tokens y haga clic en Aceptar.
Instale el certificado en el almacén de certificados local de cada servidor de federación.
Asegúrese de que el archivo de instalación del certificado tenga la clave privada del certificado en cada servidor.
Asegúrese de que la cuenta del Servicio de federación tenga acceso a la nueva clave privada del certificado.
Agregue el nuevo certificado a AD FS.
Inicie la Administración de AD FS desde el menú Herramientas administrativas
Expanda Servicio y seleccione Certificados
En el panel Acciones, haga clic en Agregar certificado de descifrado de tokens
Se mostrará una lista de certificados válidos para el descifrado de tokens. Si el nuevo certificado no se presenta en la lista, deberá retroceder y asegurarse de que se encuentre en el almacén personal del equipo local con una clave privada asociada y que el certificado tenga el cifrado de clave como uso mejorado de clave.
Seleccione su nuevo certificado de descifrado de tokens y haga clic en Aceptar.
Configure el nuevo certificado de descifrado de tokens como Principal.
Con el nodo Certificados seleccionado en Administración de AD FS, ahora debería ver dos certificados bajo Descifrado de tokens: el certificado existente y el nuevo.
Seleccione el nuevo certificado de descifrado de tokens, haga clic con el botón secundario y seleccione Establecer como principal.
Deje el certificado antiguo como secundario para fines de sustitución. Debería quitar el certificado antiguo una vez esté seguro de que ya no lo necesitará para la sustitución, o bien cuando este expire.