指定联合身份验证服务（AD FS）名称

         如果已安装 Web 服务器角色，则 Active Directory Federation Services (AD FS) 2.0 中的联合身份验证服务名称的来源为 Internet 信息服务 (IIS) 中默认网站的安全套接字层 (SSL) 证书。 实际名称文本由证书的“使用者”字段或“使用者备用名称”字段（如果需要）决定。 例如，如果您想要让联合身份验证服务位于 sts1.contoso.com，则必须在计算机存储中的本地计算机上安装已颁发给 sts1.contoso.com 的证书。 将 联合服务器 添加到现有服务器场时，已在场中配置的服务器上使用的相同证书必须在您尝试扩展场的计算机本地处于可用状态。

 

项目详细信息

SSL 证书

从可用合格证书列表中选择证书以确定联合身份验证服务名称。 此列表是根据默认网站的 SSL 设置生成的。 如果默认网站只配置了一个 SSL 证书，则会显示并自动选择使用该证书。 如果为默认网站配置了多个 SSL 证书，则此处会列出所有这些证书，您必须从中进行选择。 如果没有为默认网站配置任何 SSL 设置，则会根据计算机存储中的可用证书生成该列表。

如果不能选择证书，则原因是您没有满足最低安全主机命名要求的证书。 在继续进行服务器配置之前，先另外获取一个证书。

AD FS 2.0 需要具有作为完全限定 DNS 域名的“使用者”名称（或“使用者备用名称”）的证书。 任何使用短（单标签）主机名命名的本地证书都被阻止，无法选择。 在这种名称下颁发的证书很容易通过 Internet 从许多证书颁发机构以欺骗方式获得。

选择您在此使用的证书是 AD FS 2.0 设计和部署中的主要决策点。 如果您使用网络负载平衡 (NLB) 解决方案（如 Windows NLB 或非 Microsoft 硬件负载平衡器），就应该使用为标识 NLB 群集组而保留的 DNS 名称。 另外，您还应该注册此名称（或验证它是否已注册）并确保它在 DNS 配置中正确解析。

建立用于自身环境的 DNS 名称后，从提供强安全选项（如 2,048 位或更长的密钥长度）的受信任证书颁发机构 (CA) 请求或获得证书。

备注如果为 IIS 配置了 SSL 证书，该向导将不允许您覆盖证书。 这可确保为 SSL 证书保留之前的任何预定 IIS 配置。 要解决此限制，您可以删除证书或使用 IIS 管理控制台手动对其进行重新配置。

端口

指定为默认网站的 SSL 设置分配的端口号。 如果在多个端口上配置证书，则必须在此处选择要使用的端口号。 如果未配置任何 SSL 绑定，则会从本地计算机上的个人证书存储中选择证书，默认情况下，假定端口值为 443。

联合身份验证服务名称

指示根据所选证书确定的联合身份验证服务的名称。 如果所选证书具有多个可能的名称，则此字段中包含多个名称；如果所选证书为通配符证书，则必须键入一个名称。 例如，如果将证书颁发给 *.contoso.com，则必须在此处提供要使用的名称（例如，sts1.contoso.com）。

为什么此处未显示我的证书？

          AD FS 2.0 联合服务器配置向导具有基于增强型密钥用途 (EKU) 的证书筛选器。 EKU 的作用是指定证书的用途（例如，客户端身份验证、服务器身份验证）。 证书无需具有 EKU 扩展，这表示允许以任何目的使用证书。 此处列出的证书不得具有由 联合服务器 识别的“服务器身份验证”的 EKU 限制或 EKU 扩展。

为何应使用密钥长度为 2,048 位或更多位的证书？

         证书用于保护联合身份验证服务及其信任关系。 基于这些目的，建议对当前和未来部署使用的密钥长度不要少过 2,048 位。 可以预见在未来，1,024 位密钥长度的 RSA 密钥可能易于受到密码分析攻击。 为了确保安全性，请使用 2,048 位或更多位的默认密钥长度。 它是 Microsoft 强加密提供程序和其他加密服务提供程序 (CSP) 所提供的默认值。

原文地址：http://technet.microsoft.com/zh-CN/library/gg557751%28WS.10%29.aspx