Как я могу экспортировать сертификат подписи маркера, который создается при установке ADFS 3.0? Когда я открываю сертификат MMC, я могу видеть сертификат, однако отсутствует сообщение «У вас есть закрытый ключ, соответствующий этому сертификату», и я не могу экспортировать закрытый ключ. Я прочитал в статье ADFS deep dive: Certificate Planning, что я могу найти его в Active Directory в следующем контейнере:ADFS Export Default Signen Signing Certificate Private Key
CN=ADFS,CN=Microsoft,CN=Program Data,DC=domain,DC=com
Однако, хотя я могу попасть в этот контейнер, все, что я вижу, это GUID внутри и не знаю, как для экспорта секретного ключа из Active Directory.
Как я могу получить закрытый ключ?
******************************************** EDIT * *******************************************
В случае, если кто-либо приходит к этому позже, сертификаты фактически находятся в личном хранилище сертификатов учетной записи службы ADFS, но они НЕ экспортируются. Вы почти наверняка хотите, чтобы секретный ключ SSL cert не являлся закрытым ключом сертификата подписывания маркера. Документация
Я следил за настройкой ADFS для SharePoint, немного запутанной. Закрытый ключ должен был экспортироваться для сертификата SSL, однако отпечаток сертификата подписи маркера должен был быть помещен в веб-конфигурацию. Я неправильно пытался экспортировать закрытый ключ сертификата подписи маркера.
******************************************** EDIT * *******************************************
Извините за немой вопрос. Как вы дешифруете токен, если у вас нет закрытого ключа? – grizzljt
Вы не расшифровываете его - вы спрашивали о подписании. ADFS подписывает токен, запрос или что-то еще с закрытым ключом. Вы проверяете подпись с помощью открытого ключа. – nzpcmad
Если вы расшифровываете, это означает, что вы предоставили свой открытый ключ ADFS для шифрования (свойство RP), и ADFS будет шифровать токен SAML. Затем вы расшифровываете его, используя стандартный механизм дешифрования, используя свой закрытый ключ. –