У нас есть новый сертификат, который мы хотим использовать в ADFS в качестве сертификата служб. В первую очередь нам необходимо импортировать сертификат в хранилище сертификатов локального компьютера. Делаем это.

После импорта обязательно нужно добавить права на чтение закрытого ключа нового сертификата для аккаунта, под которым запускается ADFS. Добавляем.

Теперь узнаем и скопируем отпечаток нужного сертификата.

Установим нужный сертификат при помощи PowerShell.

 Set-AdfsSslCertificate –Thumbprint e5531161a308fdfa620ba4dc9d60e26e14df49ae

В процессе мы можем получить ошибку безопасности примерно следующего вида, когда запускаем команду из сеанса доменного администратора:

В этом случае решение состоит в том, чтобы открыть на сервере ADFS сеанс локального администратора и запустить эту операцию в нём.

После успешного завершения операции - перезапускаем службу ADFS.

Теперь можно проверить сертификат, зайдя на страницу, к которой у нас прикреплен ADFS - к примеру, на OWA Exchange.

Официально сертификаты ECC не поддерживаются в ADFS. Однако, на практике ECC-сертификаты нормально работают. При этом, при замене RCA сертификата на ECC - консоль ADFS не отображает новый сертификат, а показывает старый. А вот PowerShell вполне корректно отображает thumbprint нового сертификата. Его можно увидеть при помощи следующего командлета:

 Get-AdfsSslCertificate