Instrucciones de renovación de certificado de inicio de sesión único (SSO) Toolkit Live@edu

INTRODUCCIÓN

En este artículo se describe el procedimiento para renovar el certificado para el Kit de herramientas de Live@edu SSO. Contiene los pasos que los administradores de organización tienen que realizar para renovar el certificado del Kit de herramientas de SSO.
Nota: Soporte para la 4.5 Toolkit SSO está llegando a su fin. Publicado en abril de 2013, el Kit de herramientas de SSO admitía originalmente a través de diciembre de 2014 para dar tiempo de instituciones de Live@edu para la transición a una solución compatible de SSO en Office 365. El año pasado, la fecha final se extendió a 31 de diciembre de 2015. Después del 31 de diciembre de 2015, los certificados ya no se generan para el Kit de herramientas de SSO.

Aunque estamos finalizar el soporte, seguiremos mantener el servicio de proxy SSO ejecutando hasta que caduque el certificado actual. Antes de la expiración de su certificado SSO, debe implementar una solución de Office 365 SSO compatible para su dominio.

Consulte sincronización de directorios con el inicio de sesión único para obtener más información acerca de cómo mover a los servicios de federación de Active Directory (AD FS) u otros compatibles SSO 365 de Office solutions.

PROCEDIMIENTO

Paso 1: Solicitar un nuevo certificado de soporte

  1. Póngase en contacto con soporte técnico para obtener el nuevo certificado para su dominio. Especifique su ID de sitio y todos los dominios que tienen que renovar.
  2. Soporte técnico le proporcionará un archivo de clave privada (.pfx) y una contraseña para la clave privada.

Paso 2: Instalar el archivo PFX de certificado en el servidor de SSO Toolkit

  1. Inicie sesión en el servidor donde está instalado el Kit de herramientas de SSO mediante una cuenta de administrador.
  2. Copie el archivo .pfx en el servidor de SSO Toolkit.
  3. Importar el certificado mediante uno de los métodos siguientes.

    Importante: Al importar el certificado, asegúrese de que el certificado se instala en LOCAL_MACHINE\MY store y permitir que el certificado pueda exportarse.
    • Método 1: Utilice el Administrador de servicios de Internet Information Server (IIS) para instalar el certificado (preferido)
      1. En el Administrador de IIS, seleccione el servidor y, a continuación, haga clic en Certificados de servidor.
      2. Haga clic derecho en la ventana certificados y, a continuación, haga clic en Importar.
      3. Especifique la ruta de acceso al archivo .pfx y la contraseña, especifique Personal para el almacén de certificados y, a continuación, seleccione la casilla de verificación Permitir certificado pueda exportarse (si aún no está seleccionada).
      Para obtener más información acerca de cómo utilizar el Administrador de IIS para importar un certificado, vaya a importar un administrador SSL certificado utilizando Internet Information Services (IIS).
    • Método 2: Utilizar la consola de administración de Microsoft para instalar el certificado

      Para importar el archivo .pfx, utilice los pasos en el siguiente artículo:Asegúrese de que importar al almacén local machine\personal y asegúrese de que selecciona la opción marcar la clave como exportable... al importar el certificado.
    • Método 3: Usar la herramienta herramienta de configuración de Windows HTTP Services certificado (WinHttpCertCfg.exe) para instalar el certificado
      1. Descargue la herramienta WinHttpCertCfg.exe en el equipo local desde el siguiente sitio Web:
      2. Utilice los comandos siguientes para instalar el certificado:
        winhttpcertcfg.exe -i <PFX path> -c LOCAL_MACHINE\My -p <PFX password> -a <Account> 
        winhttpcertcfg.exe -i “C:\Users\Administrator\Desktop\cert.pfx” -c LOCAL_MACHINE\My -p “<password>” -a Administrators 
  4. Conceder acceso a servicio de red (o la identidad del grupo de aplicaciones de IIS). Para ello, siga estos pasos:
    1. Descargue la herramienta WinHttpCertCfg.exe en el equipo local desde el siguiente sitio Web:
    2. Buscar la identidad del grupo de aplicaciones IIS del sitio Web del Kit de herramientas de SSO. Para ello, en el Administrador de IIS, haga clic en Grupos de aplicacionesy, a continuación, seleccione el grupo de aplicaciones para el sitio Web de Kit de herramientas de SSO.
    3. Ejecute los comandos siguientes para conceder acceso al certificado de la identidad del grupo de aplicaciones:

      Nota: En este ejemplo, el grupo de aplicaciones del sitio Web SSO Toolkit está ejecutando bajo la cuenta servicio de red.
      winhttpcertcfg.exe -s "<subject string>” -c LOCAL_MACHINE\My -g -a "<IIS app pool identity>" 
      winhttpcertcfg.exe -s "contoso.sapipartner.com" -c LOCAL_MACHINE\My -g -a "Network Service" 

Paso 3: Actualizar el archivo Web.config en el servidor de SSO Toolkit

El archivo Web.config del sitio Web del Kit de herramientas de SSO contiene la huella digital del certificado que se utiliza para obtener el token de servicio Proxy de SSO. Aquí es un ejemplo de entrada en el archivo Web.config:
<!-- SSO Certificate Thumbprint pulled from MMC (see directions in SSO Docs) --><add key="certThumb" value="15 7e 2a 3b 94 83 d8 28 7f b9 81 b3 c1 88 53 8c b9 55 f0 8c"/> 
Para actualizar el archivo Web.config, siga estos pasos:
  1. Busque el archivo Web.config. Para hacer esto en el Administrador de IIS, haga clic en sitios, seleccione el sitio Web, haga clic en la vista de contenido, haga clic derecho en la ventana de archivos y, a continuación, haga clic en Explorar.
  2. En Microsoft Management Console, encontrar la huella digital del certificado nuevo.
  3. Copie la huella digital del certificado nuevo de Microsoft Management Console (MMC).
  4. Examine la huella digital de espacios, caracteres ocultos o caracteres adicionales.

    Para comprobar los caracteres ocultos, siga estos pasos:
    1. Copie la huella digital de la MMC.
    2. Abra WordPad o un símbolo y, a continuación, pegar la huella digital que ha copiado.

      Por ejemplo, en el símbolo del sistema, el resultado debería parecerse al siguiente:
      C:\Users\ >?15 7e 2a 3b 94 83 d8 28 7f b9 81 b3 c1 88 53 8c b9 55 f0 8c 
  5. Copie la huella digital sin incluir el "?" caracteres.
  6. Actualizar el archivo Web.config agregando el nuevo valor.

Paso 4: comprobar el archivo Web.config en el servidor de SSO Toolkit

El archivo Web.config del sitio Web del Kit de herramientas de SSO contiene el atributo de dirección URL de redirección de Outlook Live, redirectURLbajo Configuración/appSettings. Asegúrese de que el valor del atributo redirectURL se establece al siguiente, donde SSODomainName es el nombre del dominio de SSO:
https://www.outlook.com/SSODomainName
Aquí es un ejemplo de entrada en el archivo Web.config:
<add key="redirectURL" value="https://www.outlook.com/contoso.edu" /> 
Nota: Ya puede tener el valor correcto establecido para el atributo redirectURL . Compruebe de nuevo para confirmar.

Para actualizar el archivo Web.config, siga estos pasos:
  1. Busque el archivo Web.config. Para hacer esto en el Administrador de IIS, haga clic en sitios, seleccione el sitio Web, haga clic en la vista de contenido, haga clic derecho en la ventana de archivos y, a continuación, haga clic en Explorar.
  2. En Microsoft Management Console, encontrar la huella digital del certificado nuevo.
  3. Actualizar el archivo Web.config con el nuevo valor. Asegúrese de que no hay ningún carácter adicional.
  4. Reinicie IIS.

Paso 5: Comprobar la funcionalidad de SSO Toolkit

Ahora que ha completado los pasos para cambiar el certificado nuevo, pruebe los cambios para el Kit de herramientas de SSO. Para ello, inicie sesión en una cuenta de prueba en cada dominio.

MÁS INFORMACIÓN

¿Sigue necesitando ayuda? Vaya a la Comunidad de Microsoft.
Propiedades

Id. de artículo: 3057293 - Última revisión: 22 ene. 2017 - Revisión: 1

Comentarios