Wenn automatischer Zertifikatrollover aktiviert ist, verwaltet AD FS die Aktualisierung des Tokensignaturzertifikats.
Wenn Sie Ihr Zertifikat manuell verwalten, befolgen Sie bitte die unten angegebenen Anweisungen.
- Rufen Sie ein neues Tokensignaturzertifikat ab.
- Stellen Sie sicher, dass die erweiterte Schlüsselverwaltung (Enhanced Key Usage, EKU) "Digitale Signatur" enthält.
- Für den Antragsteller- oder den alternativen Antragstellernamen (Subject Alternative Name, SAN) gelten keine Einschränkungen.
- Bitte denken Sie daran, dass Ihre Verbundserver, Ihre Ressourcenpartner-Verbundserver und die Anwendungsserver der vertrauenden Seite in der Lage sein müssen, eine Verkettung mit einer vertrauenswürdigen Stammzertifizierungsstelle herzustellen, wenn sie Ihr Tokensignaturzertifikat überprüfen.
- Installieren Sie das Zertifikat im lokalen Zertifikatspeicher auf jedem Verbundserver.
- Stellen Sie sicher, dass die Zertifikatinstallationsdatei den privaten Schlüssel des Zertifikats auf jedem Server enthält.
- Stellen Sie sicher, dass das Konto des Verbunddiensts Zugriff auf den privaten Schlüssel des neuen Zertifikats besitzt.
- Fügen Sie das neue Zertifikat AD FS hinzu.
- Starten Sie die AD FS-Verwaltung über das Menü "Verwaltungstools".
- Erweitern Sie den Dienst, und wählen Sie "Zertifikate" aus.
- Klicken Sie im Aktionsbereich auf "Tokensignaturzertifikat hinzufügen".
- Es wird eine Liste der Zertifikate angezeigt, die für die Tokensignatur gültig sind. Wenn das neue Zertifikat nicht in der Liste vorhanden ist, müssen Sie zu den vorherigen Schritten zurückkehren und sicherstellen, dass sich das Zertifikat im persönlichen Speicher des lokalen Computers befindet, dass ihm ein privater Schlüssel zugeordnet ist und dass für die erweiterte Schlüsselverwaltung digitale Signatur verwendet.
- Wählen Sie Ihr neues Tokensignaturzertifikat aus, und klicken Sie dann auf "OK".
- Informieren Sie alle vertrauenden Seiten über die Änderung im Tokensignaturzertifikat.
- Vertrauende Seiten, die AD FS-Verbundmetadaten nutzen, müssen mithilfe von Pull die neuen Verbundmetadaten übertragen, um das neue Zertifikat verwenden zu können.
- Vertrauende Seiten, die KEINE AD FS-Verbundmetadaten nutzen, müssen den öffentlichen Schlüssel des neuen Tokensignaturzertifikats manuell aktualisieren. Geben Sie die CER-Datei für die vertrauenden Seiten frei.
- Legen Sie das neue Tokensignaturzertifikat als primäres Zertifikat fest.
- Wenn der Knoten "Zertifikate" in der AD FS-Verwaltung ausgewählt ist, sollten nun zwei Zertifikate unter "Tokensignatur" aufgelistet werden: das vorhandene und das neue Zertifikat.
- Wählen Sie Ihr neues Tokensignaturzertifikat aus, klicken Sie mit der rechten Maustaste, und wählen Sie dann "Als primär festlegen" aus.
- Belassen Sie das alte Zertifikat für Rolloverzwecke als sekundäres Zertifikat. Sie sollten planen, das alte Zertifikat zu entfernen, sobald Sie sicher sind, dass es nicht mehr für Rolloverzwecke benötigt wird, oder wenn das Zertifikat abgelaufen ist. Bitte denken Sie daran, dass die SSO-Sitzungen aktueller Benutzer signiert sind. Aktuelle AD FS-Proxyvertrauensstellungen verwenden Token, die mithilfe des alten Zertifikats signiert und verschlüsselt wurden.
Wenden Sie sich über {0} an Microsoft. Dort können Sie eine Nachricht im Azure Active Directory-Forum veröffentlichen. Teilen ...
Weniger als vier Sicherheitsfragen pro Sprache sind nicht zulässig. Fügen Sie neue Fragen für die Sprache hinzu, bevor Sie ...
Wenn AD FS-Überwachungen nicht aktiviert sind, führen Sie die folgenden Anweisungen aus: Erteilen Sie dem ADFS-Dienstkonto ...
Wenn automatischer Zertifikatrollover aktiviert ist, verwaltet AD FS das Tokenentschlüsselungszertifikat. Wenn Sie Ihr Zertifikat ...
Wenn automatischer Zertifikatrollover aktiviert ist, verwaltet AD FS die Aktualisierung des Tokensignaturzertifikats. Wenn ...
Wenn das Ausgabenlimit entfernt wurde, führen wir am Ende des Guthabenzeitraums automatisch ein Upgrade auf "{0}" für Ihr ...
Wenn der KDC-Dienst beendet wurde, können sich Benutzer nicht über das Kerberos v5-Authentifizierungsprotokoll bei diesem ...
Wenn der Stagingmodus aktiviert ist, werden Datenänderungen nicht in Azure AD oder die lokalen AD DS exportiert. Das Kennwortrückschreiben ...
Wenn die Benutzer sich nicht regelmäßig über den Browser anmelden, können Sie ihnen zum Registrieren für die mehrstufige ...