Изменение сертификата связи службы AD FS 2.0 по истечении его срока действия

  • Статья

В этой статье описаны действия по изменению сертификата связи службы службы федерации Active Directory (AD FS) 2.0.

Применимо к: Windows Server 2008 R2 с пакетом обновления 1 (SP1)
Исходный номер базы знаний: 2921805

Симптомы

Пользователь хочет узнать, как изменить сертификат связи службы службы федерации Active Directory (AD FS) (AD FS) 2.0 после истечения срока его действия или по другим причинам.

Разрешение

Замена существующего сертификата службы сервера AD FS 2.0 — это многоэтапный процесс.

Шаг 1

Установите новый сертификат в хранилище сертификатов локального компьютера. Для этого выполните следующие действия:

  1. Нажмите кнопку Пуск и выберите пункт Выполнить.
  2. Введите MMC.
  3. В меню Файл выберите Добавить или удалить оснастку.
  4. В списке Доступные оснастки выберите Сертификаты, а затем нажмите кнопку Добавить. Запустится мастер оснастки "Сертификаты".
  5. Выберите Учетная запись компьютера, а затем нажмите кнопку Далее.
  6. Выберите Локальный компьютер: (компьютер, на котором запущена консоль) и нажмите кнопку Готово.
  7. Нажмите ОК.
  8. Разверните узел Корневой каталог консоли\Сертификаты (локальный компьютер)\Personal\Certificates.
  9. Щелкните правой кнопкой мыши пункт Сертификаты, выберите Все задачи, а затем — Импорт.

Шаг 2

Добавьте в учетную запись службы AD FS разрешения на доступ к закрытому ключу нового сертификата. Для этого выполните следующие действия:

  1. Когда хранилище сертификатов локального компьютера по-прежнему открыто, выберите импортированный сертификат.

  2. Щелкните сертификат правой кнопкой мыши, выберите Все задачи, а затем — Управление закрытыми ключами.

  3. Добавьте учетную запись, в котором выполняется служба ADFS, а затем предоставьте учетной записи по крайней мере разрешения на чтение.

    Примечание.

    Если у вас нет возможности управлять закрытыми ключами, может потребоваться выполнить следующую команду:

    certutil -repairstore my *

Шаг 3

Привяжите новый сертификат к веб-сайту AD FS с помощью диспетчера IIS. Для этого выполните следующие действия:

  1. Откройте оснастку диспетчера служб IIS.
  2. Перейдите к веб-сайту по умолчанию.
  3. Щелкните правой кнопкой мыши веб-сайт по умолчанию и выберите Изменить привязки.
  4. Выберите HTTPS, а затем — Изменить.
  5. Выберите правильный сертификат в заголовке SSL-сертификата.
  6. Нажмите кнопку ОК и нажмите кнопку Закрыть.

Шаг 4

Настройте службу сервера AD FS для использования нового сертификата. Для этого выполните следующие действия:

  1. Откройте управление AD FS 2.0.

  2. Перейдите к AD FS 2.0\Service\Certificates.

  3. Щелкните правой кнопкой мыши Пункт Сертификаты и выберите Пункт Установить сертификат связи службы.

  4. Выберите новый сертификат в пользовательском интерфейсе выбора сертификата.

  5. Нажмите ОК.

    Примечание.

    Может появилось диалоговое окно со следующим сообщением:
    Длина ключа сертификата меньше 2048 бит. Сертификаты с размером ключа менее 2048 бит могут представлять угрозу безопасности и не рекомендуется. Продолжить?

    После прочтения сообщения выберите Да. Откроется другое диалоговое окно. Он содержит следующее сообщение:

    Убедитесь, что закрытый ключ выбранного сертификата доступен учетной записи службы для этой службы федерации на каждом сервере фермы.

    Это уже было сделано на шаге 2. Нажмите ОК.

Требуется дополнительная помощь? Перейдите в Office 365 Сообщество.