jpolisher's IT-wiki

User Tools

Site Tools

Trace:
обновление_сертификата_adfs

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Next revision		Previous revision
обновление_сертификата_adfs [2025/03/26 12:59] – created jpобновление_сертификата_adfs [2025/03/26 13:23] (current) jp
Line 1: Line 1:
 ===== Обновление сертификата ADFS ===== ===== Обновление сертификата ADFS =====
 +
 +У нас есть новый сертификат, который мы хотим использовать в //ADFS// в качестве сертификата служб. В первую очередь нам необходимо импортировать сертификат в хранилище сертификатов локального компьютера. Делаем это.
 +
 +После импорта обязательно нужно добавить права на чтение закрытого ключа нового сертификата для аккаунта, под которым запускается //ADFS//. Добавляем. 
 +
 +;#;
 +{{:ms:adfs_cert_sec_add_acc.jpg?600|}}
 +;#;
 +
 +;#;
 +{{:ms:adfs_cert_sec_add_acc_fsgmsa.jpg?600|}}
 +;#;
 +
 +Теперь узнаем и скопируем отпечаток нужного сертификата. 
 +
 +;#;
 +{{:ms:adfs_cert_sec_thumpprt.jpg?600|}}
 +;#;
 +
 +Установим нужный сертификат при помощи //PowerShell//
 +
 +   Set-AdfsSslCertificate –Thumbprint e5531161a308fdfa620ba4dc9d60e26e14df49ae
 +В процессе мы можем получить ошибку безопасности примерно следующего вида, когда запускаем команду из сеанса доменного администратора:
 +
 +;#;
 +{{:ms:adfs_set_cert_err_sec.jpg?600|}}
 +;#;
 +
 +В этом случае решение состоит в том, чтобы открыть на сервере //ADFS// сеанс локального администратора и запустить эту операцию в нём.
 +
 +После успешного завершения операции - перезапускаем службу //ADFS//.  
 +
 +;#;
 +{{:ms:adfs_service_restart.jpg?600|}}
 +;#;
 +
 +Теперь можно проверить сертификат, зайдя на страницу, к которой у нас прикреплен //ADFS// - к примеру, на OWA //Exchange//
 +
 +=== Использование ECC-сертификатов в ADFS ===
 +
 +:!: Официально сертификаты ECC не поддерживаются в //ADFS//. Однако, на практике ECC-сертификаты нормально работают. При этом, при замене RCA сертификата на ECC - консоль //ADFS// не отображает новый сертификат, а показывает старый. А вот //PowerShell// вполне корректно отображает thumbprint нового сертификата. Его можно увидеть при помощи следующего командлета:
 +
 +   Get-AdfsSslCertificate
 +{{tag>ADFS Certificates PKI Microsoft Windows WindowsServer PowerShell}}
обновление_сертификата_adfs.1742993953.txt.gz · Last modified: 2025/03/26 12:59 by jp