===== Обновление сертификата ADFS =====

У нас есть новый сертификат, который мы хотим использовать в //ADFS// в качестве сертификата служб. В первую очередь нам необходимо импортировать сертификат в хранилище сертификатов локального компьютера. Делаем это.

После импорта обязательно нужно добавить права на чтение закрытого ключа нового сертификата для аккаунта, под которым запускается //ADFS//. Добавляем. 

;#;
{{:ms:adfs_cert_sec_add_acc.jpg?600|}}
;#;

;#;
{{:ms:adfs_cert_sec_add_acc_fsgmsa.jpg?600|}}
;#;

Теперь узнаем и скопируем отпечаток нужного сертификата. 

;#;
{{:ms:adfs_cert_sec_thumpprt.jpg?600|}}
;#;

Установим нужный сертификат при помощи //PowerShell//. 

   Set-AdfsSslCertificate –Thumbprint e5531161a308fdfa620ba4dc9d60e26e14df49ae
В процессе мы можем получить ошибку безопасности примерно следующего вида, когда запускаем команду из сеанса доменного администратора:

;#;
{{:ms:adfs_set_cert_err_sec.jpg?600|}}
;#;

В этом случае решение состоит в том, чтобы открыть на сервере //ADFS// сеанс локального администратора и запустить эту операцию в нём.

После успешного завершения операции - перезапускаем службу //ADFS//.  

;#;
{{:ms:adfs_service_restart.jpg?600|}}
;#;

Теперь можно проверить сертификат, зайдя на страницу, к которой у нас прикреплен //ADFS// - к примеру, на OWA //Exchange//. 

=== Использование ECC-сертификатов в ADFS ===

:!: Официально сертификаты ECC не поддерживаются в //ADFS//. Однако, на практике ECC-сертификаты нормально работают. При этом, при замене RCA сертификата на ECC - консоль //ADFS// не отображает новый сертификат, а показывает старый. А вот //PowerShell// вполне корректно отображает thumbprint нового сертификата. Его можно увидеть при помощи следующего командлета:

   Get-AdfsSslCertificate
{{tag>ADFS Certificates PKI Microsoft Windows WindowsServer PowerShell}}