Jak zmienić certyfikat komunikacji usługi AD FS 2.0 po jego wygaśnięciu

  • Artykuł

Ten artykuł zawiera kroki zmiany certyfikatu komunikacji usługi Active Directory Federation Services 2.0.

Dotyczy: Windows Server 2008 R2 Service Pack 1
Oryginalny numer KB: 2921805

Symptomy

Użytkownik chce wiedzieć, jak zmienić certyfikat komunikacji usługi Active Directory Federation Services (AD FS) 2.0 po jego wygaśnięciu lub z innych powodów.

Rozwiązanie

Zastępowanie istniejącego certyfikatu usługi serwera usług AD FS 2.0 jest procesem wieloetapowym.

Krok 1

Zainstaluj nowy certyfikat w magazynie certyfikatów komputera lokalnego. Aby tego dokonać, wykonaj następujące kroki:

  1. kliknij przycisk Start, a następnie kliknij polecenie Uruchom.
  2. Wpisz MMC.
  3. W menu Plik wybierz pozycję Dodaj/Usuń przystawkę.
  4. Na liście Dostępne przystawki wybierz pozycję Certyfikaty, a następnie wybierz pozycję Dodaj. Zostanie uruchomiony Kreator przystawki Certyfikaty.
  5. Wybierz pozycję Konto komputera, a następnie wybierz pozycję Dalej.
  6. Wybierz pozycję Komputer lokalny: (komputer, na który jest uruchomiona ta konsola), a następnie wybierz pozycję Zakończ.
  7. Wybierz przycisk OK.
  8. Rozwiń węzeł Główny\Certyfikaty konsoli (komputer lokalny)\Osobiste\Certyfikaty.
  9. Kliknij prawym przyciskiem myszy pozycję Certyfikaty, wybierz pozycję Wszystkie zadania, a następnie wybierz pozycję Importuj.

Krok 2

Dodaj do konta usługi AD FS uprawnienia dostępu do klucza prywatnego nowego certyfikatu. Aby tego dokonać, wykonaj następujące kroki:

  1. Gdy magazyn certyfikatów komputera lokalnego jest nadal otwarty, wybierz zaimportowany certyfikat.

  2. Kliknij prawym przyciskiem myszy certyfikat, wybierz pozycję Wszystkie zadania, a następnie wybierz pozycję Zarządzaj kluczami prywatnymi.

  3. Dodaj konto z uruchomioną usługą ADFS, a następnie nadaj kontu co najmniej uprawnienia do odczytu.

    Uwaga

    Jeśli nie masz opcji zarządzania kluczami prywatnymi, może być konieczne uruchomienie następującego polecenia:

    certutil -repairstore my *

Krok 3

Powiąż nowy certyfikat z witryną internetową usług AD FS przy użyciu Menedżera usług IIS. Aby tego dokonać, wykonaj następujące kroki:

  1. Otwórz przystawkę Menedżera usług Internet Information Services (IIS).
  2. Przejdź do domyślnej witryny sieci Web.
  3. Kliknij prawym przyciskiem myszy domyślną witrynę sieci Web, a następnie wybierz pozycję Edytuj powiązania.
  4. Wybierz pozycję HTTPS, a następnie wybierz pozycję Edytuj.
  5. Wybierz poprawny certyfikat w nagłówku certyfikatu SSL.
  6. Wybierz przycisk OK, a następnie wybierz pozycję Zamknij.

Krok 4

Skonfiguruj usługę serwera usług AD FS, aby używać nowego certyfikatu. Aby tego dokonać, wykonaj następujące kroki:

  1. Otwórz usługę AD FS 2.0 Management.

  2. Przejdź do pozycji AD FS 2.0\Service\Certificates.

  3. Kliknij prawym przyciskiem myszy pozycję Certyfikaty, a następnie wybierz pozycję Ustaw certyfikat komunikacji usługi.

  4. Wybierz nowy certyfikat z interfejsu użytkownika wyboru certyfikatu.

  5. Wybierz przycisk OK.

    Uwaga

    Może zostać wyświetlone okno dialogowe zawierające następujący komunikat:
    Długość klucza certyfikatu jest mniejsza niż 2048 bitów. Certyfikaty o rozmiarze klucza mniejszym niż 2048 bitów mogą stanowić zagrożenie dla bezpieczeństwa i nie są zalecane. Czy chcesz kontynuować?

    Po przeczytaniu wiadomości wybierz pozycję Tak. Zostanie wyświetlone inne okno dialogowe. Zawiera on następujący komunikat:

    Upewnij się, że klucz prywatny wybranego certyfikatu jest dostępny dla konta usługi dla tej usługi federacyjnej na każdym serwerze w farmie.

    Zostało to już zrobione w kroku 2. Wybierz przycisk OK.

Nadal potrzebujesz pomocy? Przejdź do Office 365 Community.