adfs证书更新

随笔6天前发布 一毛
14 0 0

adfs更换 服务通信证书

1.将pfx证书安装到所有adfs服务器上,位置: 证书计算机个人
2.右击证书>所有任务>管理私钥>添加,将ADFS部署过程中添加的ADFS服账户赋权,读取权限即可
查看adfs服务,可以看到所用的服务账户
3.通过powershell命令设置新证书:

dir cert:LocalMachineMy #获取新证书指纹

Set-AdfsCertificate -CertificateType Service-Communications -Thumbprint xxxxxxxx #设置服务通信证书

Set-AdfsSslCertificate -Thumbprint xxxxx #设置SSL证书

Restart-Service adfssrv #重启ADFS服务

 

 ###############################################################################################################

ADFS自签名证书自动滚动更新

默认情况下,AD FS 配置为自动生成令牌签名证书和令牌解密证书。 它会在初始配置期间和证书即将到期时执行此操作,

参考 https://learn.microsoft.com/zh-cn/windows-server/identity/ad-fs/operations/configure-ts-td-certs-ad-fs?source=recommendations

可以运行以下 PowerShell 命令:Get-AdfsProperties | FL AutoCert*, Certificate*

adfs证书更新

AutoCertificateRollover 设置为 True,表示AD FS 证书将在 AD FS 中自动续订和配置

CertificateGenerationThreshold表示adfs在证书到期前20天自动生成新证书

 CertificatePromotionThreshold表示adfs在证书到期前5天自动应用新证书

参考:https://learn.microsoft.com/zh-cn/entra/identity/hybrid/connect/how-to-connect-emergency-ad-fs-certificate-rotation

 

#################################################################

ADFS备机 adfs服务无法启动,提示“尝试为指纹“40155551B0948B8A7C708DD5584DD36165CA9541”标识的配置证书建立证书链期间出错。原因可能包括证书已吊销,或证书不在其有效期内。”

原因为:备机的证书已过期,未及时同步到主机上的证书更新信息

处理办法:

在powershell下运行命令 Set-Date -Date “06/01/2024 12:45″,修改系统时间,然后运行命令Start-Service adfssrv

然后可以打开adfs管理控制台,adfs会自动与主机同步,过一会儿再重新启动adfs服务,即可确认恢复正常

 

################################################################

adfs更换公网域名,更换公网证书

1、将pfx公网证书安装到所有adfs服务器上,位置: 证书计算机个人
2、右击证书>所有任务>管理私钥>添加,将ADFS部署过程中添加的ADFS服账户赋权,读取权限即可
   查看adfs服务,可以看到所用的服务账户
3、通过powershell命令设置新证书:

dir cert:LocalMachineMy #获取新证书指纹

Set-AdfsCertificate -CertificateType Service-Communications -Thumbprint xxxxxxxx #设置服务通信证书

4、ADFS管理控制台-属性,将adfs.test.com其修改为新域名

adfs证书更新     adfs证书更新

 5、使用netsh http命令修改adfs监听地址:

#查看已绑定的证书
netsh http show sslcert

#删除已绑定的证书,原有的旧域名绑定证书可保留不冲突
netsh http delete sslcert ipport=0.0.0.0:443
netsh http delete sslcert hostname=localhost:443
#添加新域名证书 netsh http add sslcert ipport=0.0.0.0:443 certhash=9DBEA43EDC1EA76F684D5F9D8C1B2E7CE011E9BD appid='{5d89a20c-beab-4389-9447-324788eb949a}' netsh http add sslcert hostnameport=adfs.dev.cc:443 certhash=9DBEA43EDC1EA76F684D5F9D8C1B2E7CE011E9BD appid='{5d89a20c-beab-4389-9447-324788eb949a}' certstorename=MY netsh http add sslcert hostnameport=adfs.dev.cc:49443 certhash=9DBEA43EDC1EA76F684D5F9D8C1B2E7CE011E9BD appid='{5d89a20c-beab-4389-9447-324788eb949a}' certstorename=MY netsh http add sslcert hostnameport=localhost:443 certhash=9DBEA43EDC1EA76F684D5F9D8C1B2E7CE011E9BD appid='{5d89a20c-beab-4389-9447-324788eb949a}' certstorename=MY

   查看adfs当前绑定的ssl证书:

get-AdfsSslCertificate -Thumbprint

6、将ADFS自签名证书更换为有效期99年的自签名证书

1、禁用adfs自动滚动更新自签名证书
Set-AdfsProperties -AutoCertificateRollover $false

2、#重新生成有效期为99年的自签名令牌解密和令牌签名证书
New-SelfSignedCertificate -CertStoreLocation Cert:LocalMachineMy -NotAfter (Get-Date).AddYears(99) -Subject "ADFS Encryption - adfs.yxdev.cc"
New-SelfSignedCertificate -CertStoreLocation Cert:LocalMachineMy -NotAfter (Get-Date).AddYears(99) -Subject "ADFS Signing - adfs.yxdev.cc"

3、在adfs主服务器上将上一步生成的自签名证书导出,然后在adfs备机上将两个证书导入,必须要放在 计算机-个人证书 位置下面。主备机上,均要对两个自签名证书授予 adfs服务账户 读取权限。如果没有权限,adfs服务会启动后自动停止,提示终结点不可用

4、在adfs控制台中,分别添加自签名解密和自签名证书,然后将其设置为主要证书

7、重启主机的adfs服务,然后重启备机的adfs服务,一切正常

Restart-Service adfssrv #重启ADFS服务

 8、将自签名 令牌签名证书,安装到两台ADFS 受信任的根证书颁发机构,然后还需要安装到所有Exchange服务器的 受信任的根证书颁发机构,否则adfs在跳转的时候,会提示“wrongAudienceORbadCert”错误

     注:在Exchange上在配置ADFS前面证书指纹的时候,使用的就是 此处生成的 自签名 令牌签名证书

     Set-OrganizationConfig -AdfsIssuer https://adfs.dev.cc/adfs/ls/ -AdfsAudienceUris “https://mail.dev.cc/owa/”,”https://mail.dev.cc/ecp/” -AdfsSignCertificateThumbprints “E935BAAA04D39B8FAE96573FDECD5FE4611CA395”

© 版权声明

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...