Differences

This shows you the differences between two versions of the page.

View differences: Side by SideInline Go

Link to this comparison view

2025/03/26 13:23 jp 2025/03/26 13:21 jp 2025/03/26 13:19 jp 2025/03/26 13:19 jp 2025/03/26 13:19 jp 2025/03/26 13:18 jp 2025/03/26 13:17 jp 2025/03/26 13:16 jp 2025/03/26 13:15 jp 2025/03/26 13:13 jp 2025/03/26 13:11 jp 2025/03/26 13:09 jp 2025/03/26 13:07 jp 2025/03/26 13:06 jp 2025/03/26 13:06 jp 2025/03/26 13:04 jp 2025/03/26 13:03 jp 2025/03/26 12:59 jp createdGo Next revision		Previous revision 2025/03/26 13:23 jp 2025/03/26 13:21 jp 2025/03/26 13:19 jp 2025/03/26 13:19 jp 2025/03/26 13:19 jp 2025/03/26 13:18 jp 2025/03/26 13:17 jp 2025/03/26 13:16 jp 2025/03/26 13:15 jp 2025/03/26 13:13 jp 2025/03/26 13:11 jp 2025/03/26 13:09 jp 2025/03/26 13:07 jp 2025/03/26 13:06 jp 2025/03/26 13:06 jp 2025/03/26 13:04 jp 2025/03/26 13:03 jp 2025/03/26 12:59 jp createdGo
обновление_сертификата_adfs [2025/03/26 12:59] – created jp		обновление_сертификата_adfs [2025/03/26 13:23] (current) – jp
Line 1:		Line 1:
	===== Обновление сертификата ADFS =====		===== Обновление сертификата ADFS =====
		+
		+	У нас есть новый сертификат, который мы хотим использовать в //ADFS// в качестве сертификата служб. В первую очередь нам необходимо импортировать сертификат в хранилище сертификатов локального компьютера. Делаем это.
		+
		+	После импорта обязательно нужно добавить права на чтение закрытого ключа нового сертификата для аккаунта, под которым запускается //ADFS//. Добавляем.
		+
		+	;#;
		+	{{:ms:adfs_cert_sec_add_acc.jpg?600|}}
		+	;#;
		+
		+	;#;
		+	{{:ms:adfs_cert_sec_add_acc_fsgmsa.jpg?600|}}
		+	;#;
		+
		+	Теперь узнаем и скопируем отпечаток нужного сертификата.
		+
		+	;#;
		+	{{:ms:adfs_cert_sec_thumpprt.jpg?600|}}
		+	;#;
		+
		+	Установим нужный сертификат при помощи //PowerShell//.
		+
		+	Set-AdfsSslCertificate –Thumbprint e5531161a308fdfa620ba4dc9d60e26e14df49ae
		+	В процессе мы можем получить ошибку безопасности примерно следующего вида, когда запускаем команду из сеанса доменного администратора:
		+
		+	;#;
		+	{{:ms:adfs_set_cert_err_sec.jpg?600|}}
		+	;#;
		+
		+	В этом случае решение состоит в том, чтобы открыть на сервере //ADFS// сеанс локального администратора и запустить эту операцию в нём.
		+
		+	После успешного завершения операции - перезапускаем службу //ADFS//.
		+
		+	;#;
		+	{{:ms:adfs_service_restart.jpg?600|}}
		+	;#;
		+
		+	Теперь можно проверить сертификат, зайдя на страницу, к которой у нас прикреплен //ADFS// - к примеру, на OWA //Exchange//.
		+
		+	=== Использование ECC-сертификатов в ADFS ===
		+
		+	:!: Официально сертификаты ECC не поддерживаются в //ADFS//. Однако, на практике ECC-сертификаты нормально работают. При этом, при замене RCA сертификата на ECC - консоль //ADFS// не отображает новый сертификат, а показывает старый. А вот //PowerShell// вполне корректно отображает thumbprint нового сертификата. Его можно увидеть при помощи следующего командлета:
		+
		+	Get-AdfsSslCertificate
		+	{{tag>ADFS Certificates PKI Microsoft Windows WindowsServer PowerShell}}