| Both sides previous revisionPrevious revisionNext revision | Previous revision |
| установка_роли_adfs [2025/03/25 13:43] – jp | установка_роли_adfs [2025/03/26 07:27] (current) – jp |
|---|
| 5. А что с сертификатом подписи (signing certificate)? | 5. А что с сертификатом подписи (signing certificate)? |
| |
| Данный сертификат не хранится в стандартных хранилищах сертификатов. Посмотреть его можно, используя оснастку управления //ADFS//. По умолчанию ADFS генерирует самоподписанный сертификат на год. Т.к. данный сертификат необходимо экспортировать вручную на серверы-партнёры (например, Exchange, который будет использовать //ADFS//), хорошей идей будет перегенерировать данный сертификат, задав больший срок действия. | Данный сертификат не хранится в стандартных хранилищах сертификатов. Посмотреть его можно, используя оснастку управления //ADFS//. По умолчанию //ADFS// генерирует самоподписанный сертификат на год. Т.к. данный сертификат необходимо экспортировать вручную на серверы-партнёры (например, Exchange, который будет использовать //ADFS//), хорошей идей будет перегенерировать данный сертификат, задав больший срок действия. |
| |
| На сервере ADFS выполняем: | На сервере //ADFS// выполняем: |
| |
| <WRAP prewrap> | <WRAP prewrap> |
| </WRAP> | </WRAP> |
| |
| Теперь в консоли управления ADFS на вкладке сертификаты мы скорее всего обнаружим два сертификата. При этом, первый сертификат, сгенерированный ADFS при инсталляции будет установлен в качестве //primary//, а только что сгенерированный на 10 лет - //secondary//. Функция //set as primary// будет не активна. Для того, чтобы мы могли вручную установить новый сертификат как //primary// - необходимо выключить автоматический выпуск сертификатов. Сделаем это командой: | Теперь в консоли управления //ADFS// на вкладке сертификаты мы скорее всего обнаружим два сертификата. При этом, первый сертификат, сгенерированный //ADFS// при инсталляции будет установлен в качестве //primary//, а только что сгенерированный на 10 лет - //secondary//. Функция //set as primary// будет не активна. Для того, чтобы мы могли вручную установить новый сертификат как //primary// - необходимо выключить автоматический выпуск сертификатов. Сделаем это командой: |
| |
| Set-ADFSProperties -AutoCertificateRollover $false | Set-ADFSProperties -AutoCertificateRollover $false |
| {{tag>ADFS Certificates PKI Microsoft Windows WindowsServer ADCS PowerShell}} | Управление сертификатами в консоли: |
| | |
| | ;#; |
| | {{:wiki:adfs_signing_certs_console.jpg?600|}} |
| | ;#; |
| | |
| | После установки нового сертификата как //primary// - старый можно удалить из консоли //ADFS//. |
| | |
| | 6. Из данной же консоли можно выгрузить сертификат и установить, к примеру, на Exchange-сервер (данные сертификаты необходио устанавливать в доверенные корневые центры сертификации). |
| | |
| | 7. Проверить работу //ADFS// можно так: |
| | |
| | Открыть в браузере URL: https://adfs.arasaka.local/federationmetadata/2007-06/federationmetadata.xml |
| | {{tag>ADFS Certificates PKI Microsoft Windows WindowsServer ADCS PowerShell Exchange}} |
