Live@edu Toolkit 单一登录 (SSO) 证书续订说明

重要说明:本文是由 Microsoft 机器翻译软件进行的翻译并可能由 Microsoft 社区通过社区翻译机构(CTF)技术进行后期编辑,或可能是由人工进行的翻译。Microsoft 同时向您提供机器翻译、人工翻译及社区后期编辑的文章,以便对我们知识库中的所有文章以多种语言提供访问。翻译的文章可能存在词汇、句法和/或语法方面的错误。Microsoft 对由于内容的误译或客户对内容的使用所导致的任何不准确、错误或损失不承担责任。

点击这里察看该文章的英文版: 3057293
简介
本文介绍了用于 Live@edu SSO Toolkit 续订证书的过程。它包含组织管理员需要执行更新 SSO Toolkit 证书的步骤。
注意: 支持 SSO Toolkit 4.5 走向终结。在 4 月 2013年发布,SSO Toolkit 最初支持的通过 12 月 2014 过渡到支持的 SSO 解决方案在 Office 365 提供 Live@edu 机构时间。去年,结束日期已延长至 2015 年 12 月 31 日。后于 2015 年 12 月 31 日,证书将不再为 SSO Toolkit 生成。

虽然我们正在结束的支持,我们会继续保持运行,直到您当前证书过期了 SSO 代理服务。在 SSO 证书在到期日之前必须实现支持的 Office 365 SSO 解决方案为您的域中。

请参见 使用单一登录的目录同步 若要了解有关如何将移动到 活动目录的联合身份验证服务 (AD FS)) 或其他支持 Office 365 SSO 解决方案。
过程

步骤 1: 从支持申请新证书

  1. 与支持部门联系以获取新的证书为您的域。指定您的站点 ID 和必须更新所有的域。
  2. 支持将为您提供的专用密钥文件 (.pfx) 和密码的私钥。

步骤 2: 将安装 SSO Toolkit 服务器上的证书.pfx 文件

  1. 登录到服务器通过使用管理员帐户安装 SSO Toolkit 的位置上。
  2. 将.pfx 文件复制到 Toolkit SSO 服务器。
  3. 通过使用下列方法之一,导入证书。

    重要:导入证书时,请确保该证书是否已安装到 LOCAL_MACHINE\MY 存储区和允许要导出的证书。
    • 方法 1: 使用 Internet Information Services (IIS) 管理器来安装证书 (首选)
      1. 在 IIS 管理器中,选择服务器,然后单击服务器证书
      2. 用鼠标右键单击证书窗口,然后单击导入
      3. 指定的路径的.pfx 文件和密码,指定个人的证书存储区,然后再选择允许的证书导出 复选框 (如果它尚未选中)。
      有关如何使用 IIS 管理器导入证书的详细信息,请转到 导入 SSL 证书使用 Internet Information Services (IIS) 管理器.
    • 方法 2: 使用 Microsoft 管理控制台安装证书

      使用以下文章中步骤导入此.pfx 文件:请确保您导入到本地 machine\personal 存储并确保选择...标记密钥为可导出选项,当您导入该证书。
    • 方法 3: 使用 Windows HTTP 服务证书配置工具 (WinHttpCertCfg.exe) 工具来安装证书
      1. 从以下网站下载到本地计算机的 WinHttpCertCfg.exe 工具:
      2. 使用以下命令来安装证书:
        winhttpcertcfg.exe -i <PFX path> -c LOCAL_MACHINE\My -p <PFX password> -a <Account>
        winhttpcertcfg.exe -i “C:\Users\Administrator\Desktop\cert.pfx” -c LOCAL_MACHINE\My -p “<password>” -a Administrators
  4. 授予访问网络服务 (或 IIS 应用程序池标识)。若要执行此操作,请按照下列步骤操作:
    1. 从以下网站下载到本地计算机的 WinHttpCertCfg.exe 工具:
    2. 可以找到 SSO Toolkit 网站的 IIS 应用程序池身份。若要执行此操作,请在 IIS 管理器中,单击应用程序池,然后选择的 SSO Toolkit 网站应用程序池。
    3. 运行以下命令以授予对证书应用程序池标识的访问权限:

      注意:在此示例中,SSO Toolkit 网站应用程序池在网络服务帐户下运行。
      winhttpcertcfg.exe -s "<subject string>” -c LOCAL_MACHINE\My -g -a "<IIS app pool identity>"
      winhttpcertcfg.exe -s "contoso.sapipartner.com" -c LOCAL_MACHINE\My -g -a "Network Service"

步骤 3: 更新 Web.config 文件 Toolkit SSO 服务器上

SSO Toolkit 网站的 Web.config 文件包含用于获取令牌从 SSO 代理服务证书的指纹。在 Web.config 文件中,以下是一个示例条目:
<!-- SSO Certificate Thumbprint pulled from MMC (see directions in SSO Docs) --><add key="certThumb" value="15 7e 2a 3b 94 83 d8 28 7f b9 81 b3 c1 88 53 8c b9 55 f0 8c"/>
若要更新 Web.config 文件,请执行以下步骤:
  1. 找到的 Web.config 文件。若要执行此操作在 IIS 管理器中,单击网站选择相应网站、内容视图中用鼠标右键单击文件窗口中,和,然后单击浏览
  2. 在 Microsoft 管理控制台中,查找新证书的指纹。
  3. 从 Microsoft 管理控制台 (MMC) 复制新证书的指纹。
  4. 检查多余的字符、 隐藏的字符或空格的指纹。

    要查看隐藏的字符,请执行以下步骤:
    1. 复制从 MMC 的指纹。
    2. 写字板或命令提示符处,打开,然后粘贴所复制的指纹。

      例如,在命令提示符下,输出应如下所示:
      C:\Users\ >?15 7e 2a 3b 94 83 d8 28 7f b9 81 b3 c1 88 53 8c b9 55 f0 8c
  5. 复制的指纹,而不包括"?"字符。
  6. 通过添加新的值更新 Web.config 文件。

步骤 4:验证上 Toolkit SSO 服务器的 Web.config 文件

SSO Toolkit 网站的 Web.config 文件包含 Outlook 实时重定向 URL 属性, redirectURL,在配置/appSettings 下。请确保, redirectURL属性的值设置为以下内容,其中SSODomainName是 SSO 域的名称:
https://www.outlook.com/SSODomainName
在 Web.config 文件中,以下是一个示例条目:
<add key="redirectURL" value="https://www.outlook.com/contoso.edu" />
注意:您可能已经正确设置redirectURL属性的值。仔细检查以确认。

若要更新 Web.config 文件,请执行以下步骤:
  1. 找到的 Web.config 文件。若要执行此操作在 IIS 管理器中,单击网站选择相应网站、内容视图中用鼠标右键单击文件窗口中,和,然后单击浏览
  2. 在 Microsoft 管理控制台中,查找新证书的指纹。
  3. 用新值更新 Web.config 文件。请确保没有多余的字符。
  4. 重新启动 IIS。

第 5 步: 验证 SSO Toolkit 功能

现在,您已经完成切换到新的证书的步骤,测试 SSO Toolkit 所做的更改。为此,登录到每个域中的测试帐户。
详细信息
仍需要帮助?请转到 Office 365 社区 网站。

警告:本文已自动翻译

属性

文章 ID:3057293 - 上次审阅时间:02/24/2016 19:17:00 - 修订版本: 9.0

Microsoft Office 365

  • o365 o365e o365m o365022013 o365a kbmt KB3057293 KbMtzh
反馈