如何在 AD FS 2.0 服务通信证书过期后对其进行更改

  • 项目

本文提供更改 Active Directory 联合身份验证服务 2.0 服务通信证书的步骤。

适用于: Windows Server 2008 R2 Service Pack 1
原始 KB 编号: 2921805

症状

用户希望了解如何在Active Directory 联合身份验证服务 (AD FS) 2.0 服务通信证书过期后或出于其他原因更改证书。

解决方案

替换现有的 AD FS 2.0 服务器服务证书是一个多步骤过程。

第 1 步

将新证书安装到本地计算机证书存储中。 要执行此操作,请执行以下步骤:

  1. 选择“开始”,然后选择“运行”
  2. 键入 MMC
  3. 在“ 文件 ”菜单上,选择“ 添加/删除管理单元”。
  4. “可用管理单元 ”列表中,选择“ 证书”,然后选择“ 添加”。 证书管理单元向导将启动。
  5. 选择“ 计算机帐户”,然后选择“ 下一步”。
  6. 选择“ 本地计算机: (此主机在) 上运行的计算机 ”,然后选择“ 完成”。
  7. 选择“确定”。
  8. 展开 “控制台根\证书 (本地计算机) \个人\证书”。
  9. 右键单击“ 证书”,选择“ 所有任务”,然后选择“ 导入”。

第 2 步

向 AD FS 服务帐户添加访问新证书私钥的权限。 要执行此操作,请执行以下步骤:

  1. 在本地计算机证书存储仍处于打开状态的情况下,选择导入的证书。

  2. 右键单击证书,选择“ 所有任务”,然后选择“ 管理私钥”。

  3. 添加运行 ADFS 服务的帐户,然后至少为该帐户授予读取权限。

    注意

    如果没有管理私钥的选项,则可能必须运行以下命令:

    certutil -repairstore my *

第 3 步

使用 IIS 管理器将新证书绑定到 AD FS 网站。 要执行此操作,请执行以下步骤:

  1. 打开 Internet Information Services (IIS) Manager 管理单元。
  2. 浏览到 默认网站
  3. 右键单击“ 默认网站”,然后选择“ 编辑绑定”。
  4. 选择“ HTTPS”,然后选择“ 编辑”。
  5. 在“SSL 证书”标题下选择正确的证书。
  6. 选择 “确定”,然后选择“ 关闭”。

第 4 步

将 AD FS 服务器服务配置为使用新证书。 要执行此操作,请执行以下步骤:

  1. 打开 AD FS 2.0 管理。

  2. 浏览到 AD FS 2.0\Service\Certificates

  3. 右键单击“ 证书”,然后选择“ 设置服务通信证书”。

  4. 从证书选择 UI 中选择新证书。

  5. 选择“确定”。

    注意

    你可能会看到包含以下消息的对话框:
    证书密钥长度小于 2048 位。 密钥大小小于 2048 位的证书可能存在安全风险,不建议这样做。 是否继续?

    阅读消息后,选择“ ”。 将显示另一个对话框。 它包含以下消息:

    确保服务器场中每个服务器上的此联合身份验证服务的服务帐户可以访问所选证书的私钥。

    已在步骤 2 中完成。 选择“确定”。

仍然需要帮助? 转到Office 365社区