为 AD FS 注册 SSL 证书
Active Directory 联合身份验证服务 (AD FS) 需要使用一个证书在联合服务器场中的每台联合服务器上进行安全套接字层 (SSL) 服务器身份验证。 可以在场中的每台联合服务器上使用同一个证书。 你必须获得该证书及其私钥。 例如,如果你将该证书及其私钥保存在一个 .pfx 文件中,则可以将该文件直接导入 Active Directory 联合身份验证服务配置向导。 此 SSL 证书必须包含以下内容:
使用者名称和使用者可选名称必须包含联合身份验证服务名称,例如 fs.contoso.com。
使用者可选名称必须包含 enterpriseregistration 值,后接组织的用户主体名称 (UPN) 后缀,例如 enterpriseregistration.corp.contoso.com。
警告
如果计划为工作区加入启用设备注册服务 (DRS),请指定使用者可选名称。
重要
如果你的组织使用多个 UPN 后缀,并且你计划启用 DRS,则 SSL 证书必须为每个后缀包含一个使用者可选名称条目。