有効期限が切れた後に AD FS 2.0 サービス通信証明書を変更する方法

この記事では、Active Directory フェデレーション サービス (AD FS) 2.0 サービス通信証明書を変更する手順について説明します。

適用対象: Windows Server 2008 R2 Service Pack 1
元の KB 番号: 2921805

現象

ユーザーは、有効期限が切れた後、または他の理由で、Active Directory フェデレーション サービス (AD FS) (AD FS) 2.0 サービス通信証明書を変更する方法を知りたいと考えています。

解決方法

既存の AD FS 2.0 サーバー サービス証明書を置き換えることは、マルチステップ プロセスです。

手順 1

ローカル コンピューター証明書ストアに新しい証明書をインストールします。 これを行うには、次の手順に従います。

1. [スタート]、[ファイル名を指定して実行] の順に選択します。
2. 「 MMC」と入力します。
3. [ファイル] メニューの [スナップインの追加と削除] を選択します。
4. [ 使用可能なスナップイン ] の一覧で、[ 証明書] を選択し、[ 追加] を選択します。 証明書スナップイン ウィザードが起動します。
5. [コンピューター アカウント] を選択し、 [次へ] を選択します。
6. [ ローカル コンピューター]: (このコンソールが実行されているコンピューター) を選択し、[完了] を選択 します。
7. [OK] を選択します。
8. [コンソールのルート\証明書 (ローカル コンピューター)]\[Personal\Certificates] を展開します。
9. [証明書] を右クリックし、[すべてのタスク] を選択し、[インポート] を選択します。

手順 2

新しい証明書の秘密キーにアクセスするためのアクセス許可を AD FS サービス アカウントに追加します。 これを行うには、次の手順に従います。

1. ローカル コンピューター証明書ストアがまだ開いている状態で、インポートされた証明書を選択します。

2. 証明書を右クリックし、[ すべてのタスク] を選択し、[ 秘密キーの管理] を選択します。

3. ADFS サービスを実行しているアカウントを追加し、少なくとも読み取りアクセス許可をアカウントに付与します。

   注:

   秘密キーを管理するオプションがない場合は、次のコマンドを実行する必要があります。

   certutil -repairstore my *
   

手順 3

IIS マネージャーを使用して、新しい証明書を AD FS Web サイトにバインドします。 これを行うには、次の手順に従います。

1. インターネット インフォメーション サービス (IIS) マネージャー スナップインを開きます。
2. [既定の Web サイト] を参照します。
3. [既定の Web サイト] を右クリックし、[バインドの編集] を選択します。
4. [ HTTPS] を選択し、[編集] を選択 します。
5. [SSL 証明書] 見出しの下にある正しい証明書を選択します。
6. [ OK] を選択し、[ 閉じる] を選択します。

手順 4

新しい証明書を使用するように AD FS サーバー サービスを構成します。 これを行うには、次の手順に従います。

1. AD FS 2.0 Management を開きます。

2. AD FS 2.0\Service\Certificates に移動します。

3. [証明書] を右クリックし、[サービス通信証明書の設定] を選択します。

4. 証明書の選択 UI から新しい証明書を選択します。

5. [OK] を選択します。

   注:

   次のメッセージを含むダイアログ ボックスが表示される場合があります。
   証明書キーの長さは 2048 ビット未満です。 キー サイズが 2048 ビット未満の証明書では、セキュリティ リスクが発生する可能性があり、推奨されません。 続行しますか?

   メッセージを読んだ後、[ はい] を選択します。 新しいダイアログ ボックスが表示されます。 次のメッセージが含まれています。

   選択した証明書の秘密キーに、ファーム内の各サーバー上のこのフェデレーション サービスのサービス アカウントからアクセスできることを確認します。

   これは、手順 2 で既に実行されています。 [OK] を選択します。

さらにヘルプが必要ですか? [Office 365 コミュニティ] に移動します。