Teh Hermit
Page
  • Show page
  • Old revisions
  • Backlinks
  • Back to top
    • Site
  • Recent Changes
  • Media Manager
  • Sitemap
    • User

    Page tools

  • Show page
  • Old revisions
  • Backlinks
  • Back to top

    • Site tools

  • Recent Changes
  • Media Manager
  • Sitemap

    • User tools
    Trace: решение_проблем создание_dag сброс_grace-периода назначение_прав_в_vsphere настройка_laps удаление_вручную_vsan_datastore

    Differences

    This shows you the differences between two versions of the page.

    Link to this comparison view

    Both sides previous revisionPrevious revision
    Next revision    		Previous revision
    установка_роли_adfs [2025/03/25 13:39] jpустановка_роли_adfs [2025/03/26 07:27] (current) jp
    Line 80: Line 80:
     5. А что с сертификатом подписи (signing certificate)? 5. А что с сертификатом подписи (signing certificate)?
      
    -Данный сертификат не хранится в стандартных хранилищах сертификатов. Посмотреть его можно, используя оснастку управления //ADFS//. По умолчанию ADFS генерирует самоподписанный сертификат на год. Т.к. данный сертификат необходимо экспортировать вручную на серверы-партнёры (например, Exchange, который будет использовать //ADFS//), хорошей идей будет перегенерировать данный сертификат, задав больший срок действия.   +Данный сертификат не хранится в стандартных хранилищах сертификатов. Посмотреть его можно, используя оснастку управления //ADFS//. По умолчанию //ADFS// генерирует самоподписанный сертификат на год. Т.к. данный сертификат необходимо экспортировать вручную на серверы-партнёры (например, Exchange, который будет использовать //ADFS//), хорошей идей будет перегенерировать данный сертификат, задав больший срок действия. 
    -{{tag>ADFS Certificates PKI Microsoft Windows WindowsServer ADCS PowerShell}}+ 
     +На сервере //ADFS// выполняем: 
     + 
     +<WRAP prewrap> 
     +<code> 
     +Set-AdfsProperties -CertificateDuration 3650 
     +Set-ADFSProperties -AutoCertificateRollover $true 
     +Update-AdfsCertificate -CertificateType Token-Decrypting 
     +Update-AdfsCertificate -CertificateType Token-Signing  
     +</code> 
     +</WRAP> 
     + 
     +Теперь в консоли управления //ADFS// на вкладке сертификаты мы скорее всего обнаружим два сертификата. При этом, первый сертификат, сгенерированный //ADFS// при инсталляции будет установлен в качестве //primary//, а только что сгенерированный на 10 лет - //secondary//. Функция //set as primary// будет не активна. Для того, чтобы мы могли вручную установить новый сертификат как //primary// - необходимо выключить автоматический выпуск сертификатов. Сделаем это командой: 
     + 
     +   Set-ADFSProperties -AutoCertificateRollover $false 
     +Управление сертификатами в консоли: 
     + 
     +;#; 
     +{{:wiki:adfs_signing_certs_console.jpg?600|}} 
     +;#; 
     + 
     +После установки нового сертификата как //primary// - старый можно удалить из консоли //ADFS//.  
     + 
     +6. Из данной же консоли можно выгрузить сертификат и установить, к примеру, на Exchange-сервер (данные сертификаты необходио устанавливать в доверенные корневые центры сертификации). 
     + 
     +7. Проверить работу //ADFS// можно так:  
     + 
     +Открыть в браузере URL: https://adfs.arasaka.local/federationmetadata/2007-06/federationmetadata.xml 
     +{{tag>ADFS Certificates PKI Microsoft Windows WindowsServer ADCS PowerShell Exchange}}
    установка_роли_adfs.1742909993.txt.gz · Last modified: by jp