| ADFS սերվերի certificate-ի թարմացում | | KBA-01640 | | Բովանդակություն | | ADFS սերվերի նախկին certificate-ը փոխելու համար հարկավոր է ստեղծել նոր certificate, որի Subject-ը կամ Subject Alternative Name (SAN), DNS Name-ը պետք է պարունակի ADFS-ի համար նախատեսված սերվերի անվանումը` federationservername.yourdomain.am, օրինակ dc.test.am: SSL Certificate կարող եք ստեղծել կատարելով համապատասխան հոդվածի քայլերը: | | Լրացուցիչ մեկնաբանություն | ADFS-ի certificate-ների թարմացում
Հարկավոր է բացել ADFS Managment-ը և ընտրել Service -> Certificates ճյուղը1. Token-signing certificate-ի թարմացում
1.1 Հարկավոր է սեղմել Add Token-Signing Certificate ... հղումը:
Նման սխալի հաղորդագրություն ստանալու դեպքում հարկավոր է անջատել սերտիֆիկատի ավտոմատ թարմացման հնարավորությունը:
Ավտոմատ թարմացման հնարավորությունը անջատելու համար անհրաժեշտ է Windows Power Shell -ում աշխատացնել Set-ADFSProperties -AutoCertificateRollover $false հրամանը և կրկին սեղմել Add Token-Signing Certificate հղումը:
1.2 Բացված ցանկից անհրաժեշտ է ընտրել նոր ստեղծած սերտիֆիկատը և սեղմել OK կոճակը:
1.3 Սերտիֆիկատը ավելացնելուց հետո կտեսնեք զգուշացում, որ նշված սերտիֆիկատի private key-ն պետք է հասանելի լինի ADFS-ի սերվիսի օգտագործողի համար:
Հասանելիություն տրամադրելու համար հարկավոր է տեսնել, որ օգտագործողով է աշխատում ADFS-ի սերվիսը և այդ օգտագործողին (օրինակ` TEST\ADFS$ ) տրամադրել իրավասություն:
Իրավասություն տրամադրելու համար հարկավոր է բացել MMC գործիքը, նշել ավելացրած սերտիֆիկատը և մկնիկի աջ ստեղնի օգնությամբ ընտրել All Tasks -> Manage Private Keys...
Բացված պատուհանում հարկավոր է սեղմել Add կոճակը, Object Types-ում նշել նաև Service Accounts նշիչը, մուտքագրել ADFS-ի սերվիսի օգտագործողը (օրինակ` TEST\ADFS$) և տրամադրել Read իրավասություն
1.4 Նոր սերտիֆիկատը ավելանցելուց հետո հարկավոր է այն սարքել հիմնական` կանգնել նոր սերտիֆիկատի վրա և մկնիկի աջ ստեղնի օգնությամբ ընտրել Set as Primary
2. Token-decryption certificate-ի թարմացում
2.1 Հարկավոր է սեղմել Add Token-Decryption Certificate ... հղումը և կատարել նույն քայլերը ինչ Add Token-Signing Certificate-ի դեպքում
3. Service communications certificate-ի թարմացում
3.1 Հարկավոր է սեղմել Set Service Communications Certificate ... հղումը, նշված ցանկից ընտրել մեզ անհրաժեշտ սերտիֆիկատը և սեղմել OK կոճակը:
Սերտիֆիկատը անմիջապես կկիրառվի: Ինչից հետո հարկավոր է վերաբեռնել ADFS սերվիսը:
4. SSL certificate-ի թարմացում
4.1 SSL certificate-ը թարմացնելու համար հարկավոր է նոր սերտիֆիկատի Trumbprint-ը, որը կարող ենք տեսնել սերտիֆիկատի Details բաժնում
Օգտագործելով տվյալ սերտիֆիկատի Trumbprint-ը հարկավոր է Windows Power Shell - ում աշխատացնել Set-AdfsSslCertificate –Thumbprint 9ee6b7be5b45535fb89d0b47d62685d9eebeb054
restart-service adfssrv
|
|
|