Обновление сертификата ADFS
У нас есть новый сертификат, который мы хотим использовать в ADFS в качестве сертификата служб. В первую очередь нам необходимо импортировать сертификат в хранилище сертификатов локального компьютера. Делаем это.
После импорта обязательно нужно добавить права на чтение закрытого ключа нового сертификата для аккаунта, под которым запускается ADFS. Добавляем.
Теперь узнаем и скопируем отпечаток нужного сертификата.
Установим нужный сертификат при помощи PowerShell.
Set-AdfsSslCertificate –Thumbprint e5531161a308fdfa620ba4dc9d60e26e14df49ae
В процессе мы можем получить ошибку безопасности примерно следующего вида, когда запускаем команду из сеанса доменного администратора:
В этом случае решение состоит в том, чтобы открыть на сервере ADFS сеанс локального администратора и запустить эту операцию в нём.
После успешного завершения операции - перезапускаем службу ADFS.
Теперь можно проверить сертификат, зайдя на страницу, к которой у нас прикреплен ADFS - к примеру, на OWA Exchange.
Использование ECC-сертификатов в ADFS
Официально сертификаты ECC не поддерживаются в ADFS. Однако, на практике ECC-сертификаты нормально работают. При этом, при замене RCA сертификата на ECC - консоль ADFS не отображает новый сертификат, а показывает старый. А вот PowerShell вполне корректно отображает thumbprint нового сертификата. Его можно увидеть при помощи следующего командлета:
Get-AdfsSslCertificate