Nếu mã thông báo ký chứng chỉ được gia hạn mới bằng AD FS, kiểm tra nếu chứng chỉ mới được chọn bởi các đối tác liên kết. Trong trường hợp AD FS sử dụng một mã thông báo giải mã chứng chỉ được gia hạn cũng mới, thực hiện việc kiểm tra tương tự. Để kiểm tra nếu thẻ AD FS hiện tại ký chứng chỉ trên AD FS phù hợp trên các đối tác liên kết, hãy làm theo các bước sau:
-
Nhận thẻ hiện tại ký chứng chỉ trên AD FS bằng cách chạy lệnh sau:
Get-ADFSCertificate -CertificateType token-signing -
Trong danh sách các chứng chỉ trả về, tìm với IsPrimary = TRUE, ghi vào vân tay.
-
Nhận vân tay thẻ hiện tại ký chứng chỉ trên các đối tác liên kết. Máy chủ ứng dụng phải cung cấp cho bạn này.
-
So sánh thumbprints hai chứng chỉ .
Như vậy để kiểm tra nếu AD FS sử dụng một mã thông báo mới giải mã chứng chỉ, ngoại trừ rằng lệnh nhận thẻ giải mã chứng chỉ trên AD FS là như sau:
Get-ADFSCertificate -CertificateType token-decrypting
Nếu mã thông báo ký chứng chỉ hoặc mã thông báo giải chứng chỉ tự ký AutoCertificateRollover được bật theo mặc định trên các chứng chỉ và AD FS quản lý tự động gia hạn chứng chỉ khi gần hết hạn.
Để xác định xem bạn đang sử dụng chứng chỉ tự ký, hãy làm theo các bước sau:
-
Chạy lệnh sau:
Get-ADFSCerticate -CertificateType "token-signing"
-
Kiểm tra thuộc tính chứng chỉ.
Nếu chủ đề và phát hành thuộc tính đều bắt đầu bằng "CN = ADFS ký...", chứng chỉ tự ký và quản lý bởi AutoCertRollover.
Để xác nhận nếu chứng chỉ gia hạn tự động, hãy làm theo các bước sau:
-
Chạy lệnh sau:
Get-ADFSProperties | FL AutoCertificateRollover
-
Kiểm tra thuộc tính AutoCertificateRollover.
-
Nếu AutoCertificateRollover = TRUE, AD FS tự động tạo mới chứng chỉ (30 ngày trước ngày hết hạn theo mặc định) và đặt chúng như chứng chỉ chính (25 ngày trước khi hết hạn).
-
Nếu AutoCertificateRollover = FALSE, bạn phải tự thay thế chứng chỉ.
-
Thực hiện các thumbprints phù hợp?
