В ADFS у вас есть первичный и вторичный сертификат.В ссылке https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/design/certificate-requirements-for-federation-servers, они упомянули, что вы можете настроить несколько сертификатов подписи токенов, но ADFS использует только основной сертификат подписи токенов для фактической подписи токенов.
Единственная цельвторичный сертификат должен разрешить автоматическое продление сертификата, чтобы избежать ручного вмешательства после истечения срока действия текущего сертификата в конце ADFS?
Правильно, во время пролонгации доступен вторичный сертификат, чтобы дать RP и т.д. время для обновления.
Затем вторичный сервер повышается до первичного, а исходный первичный удаляется.