Federation service certificates
您需要在SharePoint混合环境中管理多个证书。
如果考虑将AD FS用于SSO,则需要SSL证书。AD FS广泛使用SSL证书。您必须使用X.509证书,并且必须在所有AD FS和Web应用程序代理服务器节点上应用相同的证书。
对于SharePoint混合部署,公共Internet上的AD FS服务需要由受信任的证书颁发机构(CA)颁发的公共SSL证书,例如GeoTrust,Symantec或Thawte。重要的是SSL证书的主题名称或主题备用名称(SAN)'dnsName'与为AD FS服务名称配置的名称相匹配; 例如,sts.contoso.com或通配符* .contoso.com以包含子域。
如果您决定在组织中为SSO配置联合身份,则必须管理以下证书:
- 服务通信证书
- 令牌签名证书
- 令牌解密证书
有关令牌签名和令牌解密证书的信息发布在STS联合元数据上; 例如,https://sts.contoso.com/federationmetadata/2007-06/federationmetadata.xml。Office 365使用公共联合元数据端点中发布的证书信息来警告管理员证书过期。