[追加] : アカウント パートナーによって発行されるセキュリティ トークンを検証するために使用される、証明書の一覧に証明書ファイルを追加するには、これをクリックします。DER エンコードされたバイナリ X.509 証明書ファイル (.cer)、PKCS #7 証明書ファイル (.p7b)、または証明書ストア ファイル (.sst) を選択します。これらの内容は、次の種類のいずれかです。

  • 自己署名証明書 - 自己署名証明書はルート証明機関 (CA) 証明書です。

  • ルート以下の証明書パスにあるすべての証明書 - この場合、最後の証明書は自動的に検出されます。

[削除] : 検証証明書の一覧から強調表示されている証明書を削除するには、これをクリックします。

フェデレーション サービス自体によって発行されているトークンを検証するには、このフェデレーション サービスに対して少なくとも 1 つの証明書が存在している必要があるため、最後の証明書は削除できません。

[表示] : 検証証明書の一覧で強調表示されている証明書の詳細を表示するには、これをクリックします。

失効設定

[終了証明書を確認する] : このオプションは、証明書チェーン内の最後の証明書が失効しているかどうかを確認します。このオプションでは、証明書チェーン内で最後の証明書の CA よりも上位にあるすべての証明書失効リスト (CRL) ではなく、最後の証明書を発行した CA に関連付けられている CRL だけが、失効状態について確認されます。そのため、このオプションを選択するとパフォーマンスが向上する可能性があります。

注意

このオプションは、最後の証明書を発行した CA を信頼している場合にのみ選択してください。

[キャッシュのみで終了証明書を確認する] : このオプションは [終了証明書を確認する] と同じ動作を実行しますが、最後の証明書を直接発行した CA の失効状態を確認するのではなく、ローカル コンピューターのストアにインポートされた CRL に対して失効確認を実行します。

このオプションを選択した場合、ローカル コンピューターのストアにある CRL のタイム スタンプが最新でなければ、AD FS の通信は失敗します。

[全体の証明書チェーンを確認する] : このオプションは、ルート証明書を含む、チェーン内のすべての証明書に対して、失効状態を確認します。ほとんどの失効確認ではルート証明書の確認は除外されていますが、このオプションはルート証明書がまだ失効していないことを検証する確認を実行します。

[キャッシュのみで全体の証明書チェーンを確認する] : このオプションは [全体の証明書チェーンを確認する] と同じ動作を実行しますが、ルート証明書を直接発行した CA の失効状態を確認するのではなく、ローカル コンピューターのストアにインポートされた CRL に対して失効確認を実行します。

このオプションを選択した場合、ローカル コンピューターのストアにある CRL のタイム スタンプが最新でなければ、AD FS の通信は失敗します。

[ルートを除外した全体の証明書チェーンを確認する] : このオプションは、ルート証明書を除くチェーン内のすべての証明書に対して、失効状態を確認します。このオプションは、AD FS での失効確認に対する既定の設定です。

[キャッシュのみでルートを除外した全体のチェーンを確認する] : このオプションは [ルートを除外した全体の証明書チェーンを確認する] と同じ動作を実行しますが、証明書を直接発行した CA の失効状態を確認するのではなく、ローカル コンピューターのストアにインポートされた CRL に対して失効確認を実行します。

このオプションを選択した場合、ローカル コンピューターのストアにある CRL のタイム スタンプが最新でなければ、AD FS の通信は失敗します。


目次