添加 - 单击可以将证书文件添加到证书列表,该列表中的证书用于验证帐户伙伴颁发的安全令牌。选择 DER 编码的二进制 X.509 证书文件 (.cer)、PKCS #7 证书文件 (.p7b) 或内容属于下列类型之一的证书存储文件 (.sst):
-
自签名证书 [自签名证书是根证书颁发机构 (CA) 证书。]
-
证书路径中的所有证书都位于根目录下(在此情况下,会自动检测到最终证书)。
删除 - 单击可以将突出显示的证书从验证证书列表中删除。
注意 | |
不能删除最后一个证书,因为此联合身份验证服务必须至少存储一个证书,才能验证由联合身份验证服务自己颁发的令牌。 |
查看 - 单击可以查看验证证书列表中突出显示证书的详细信息。
吊销设置
检查最终证书 - 此选项检查是否已吊销证书链中的最终证书。选中此选项可以提高性能,因为仅会检查与颁发最终证书的 CA 相关联的证书吊销列表 (CRL) 的吊销状态,而不会检查证书链中比最终证书的 CA 高的任何 CRL 的吊销状态。
小心 | |
仅当您信任颁发最终证书的 CA 时才选择此选项。 |
仅检查缓存中的最终证书 - 此选项执行的操作与“检查最终证书”执行的操作相同,但它不是直接从颁发最终证书的 CA 检查吊销状态,而是在已被导入到本地计算机存储中的 CRL 上执行吊销检查。
注意 | |
如果选择此选项,且本地计算机存储中的 CRL 的时间戳不是当前的,则 AD FS 通信会失败。 |
检查整个证书链 - 此选项检查链中每个证书的吊销状态,包括根证书。尽管大多数吊销检查不包括检查根证书,此选项会运行一个检查来验证尚未吊销根证书。
仅检查缓存中的整个证书链 - 此选项执行的操作与“检查整个证书链”执行的操作相同,但它不是直接从颁发根证书的 CA 检查吊销状态,而是在已被导入到本地计算机存储中的 CRL 上执行吊销检查。
注意 | |
如果选择此选项,且本地计算机存储中的 CRL 的时间戳不是当前的,则 AD FS 通信会失败。 |
检查除根之外的整个链 - 此选项检查链中除根证书之外每个证书的吊销状态。此选项是 AD FS 中的吊销检查的默认设置。
仅检查缓存中的整个链(不包括根) - 此选项执行的操作与“检查除根之外的整个链”执行的操作相同,但它不是直接从颁发证书的 CA 检查吊销状态,而是在已被导入本地计算机存储中的 CRL 上执行吊销检查。
注意 | |
如果选择此选项,且本地计算机存储中的 CRL 的时间戳不是当前的,则 AD FS 通信会失败。 |