Azure 配置管理系列AD FS(PART1)
Azure 配置管理系列AD FS(PART2)
如果您决定让现有证书达到关键阈值,而不是调用证书生成过程,则只需要重新启用AutoCertificateRollover。
如果您决定要立即生成新的自签名证书,则需要首先重新启用AutoCertificateRollover,然后发出PowerShell命令来调用立即生成证书。
使用PowerShell命令重新启用
AutoCertificateRollover:
Add-PSSnapin Microsoft.Adfs.Powershell
Set-ADFSProperties -AutoCertificateRollover $ truePowerShell命令立即生成新的自签名证书:
Add-PSSnapin Microsoft.Adfs.Powershell
Update-AdfsCertificate
注意:更新令牌解密或令牌签名证书时会导致AD FS服务中断,因为中继方必须更新其配置才能获得新证书。当用户受中断影响最小时,请执行此工作。
在续订令牌签名和令牌解密证书之前,我建议您延长自签名证书的AD FS证书生存期。
登录到主AD FS服务器并打开提升的PowerShell提示。运行以下命令,以配置AD FS服务器以生成持续10年的自签名令牌签名和令牌解密证书,并启用自动证书回滚:
Set-ADFSProperties CertificateDuration 3650 -AutoCertificateRollover $ true
这些cmdlet将生成新的自签名令牌签名和令牌解密证书,这些证书将立即升级,然后再次禁用自动证书回滚。中继合作伙伴将需要更新其元数据以接受新签署的声明:
Update-AdfsCertificate -CertificateType
Update-AdfsCertificate -CertificateType
Set-ADFSProperties -AutoCertificateRollover $ false
使用Windows Azure PowerShell更新Office 365元数据:
Connect-MsolService
Update-MsolFederatedDomain -DomainName domain.com -SupportMultipleDomain
Connect-MsolService
Update-MsolFederatedDomain -DomainName domain.com -SupportMultipleDomain
如果使用其他中继方元数据,则需要对其进行更新。例如,Microsoft必须通过在Office 365门户中打开支持凭单来手动更新Yammer本地(不是Office 365)。您将需要向他们提供令牌签名和令牌解密证书(减去私钥)。
关于WAP服务器的说明
如果您的组织使用Windows应用程序代理(WAP)服务器进行AD FS部署,则无需执行其他有关令牌签名和令牌解密证书的事情。WAP服务器仅使用服务通信SSL证书。
Azure 配置管理系列AD FS(PART1)
Azure 配置管理系列AD FS(PART2)