如何在AD FS 2.0服務通訊憑證到期後變更

  • 發行項

本文提供變更 Active Directory 同盟服務 2.0 服務通訊憑證的步驟。

適用於: Windows Server 2008 R2 Service Pack 1
原始 KB 編號: 2921805

徵狀

使用者想要知道如何在 Active Directory 同盟服務 (AD FS) 2.0 服務通訊憑證到期之後或其他原因變更憑證。

解決方案

取代現有的AD FS 2.0 伺服器服務憑證是多步驟程式。

步驟 1

將新憑證安裝到本機計算機證書存儲。 如果要執行這項操作,請依照下列步驟執行:

  1. 選取 [開始],然後選取 [執行]
  2. 輸入 MMC
  3. 在 [ 檔案] 功能表上,選取 [ 新增/移除嵌入式管理單元]
  4. 在 [ 可用的嵌入式管理單元 ] 列表中,選取 [ 憑證],然後選取 [ 新增]。 [憑證嵌入式管理單元精靈] 隨即啟動。
  5. 選取 [計算機帳戶],然後選取 [ 下一步]
  6. 選取 [本機計算機: (此控制台在) 上 執行的計算機,然後選取 [ 完成]
  7. 選取 [確定]
  8. 展開 [主控台跟證書] ([本機計算機) \個人\憑證]
  9. 以滑鼠右鍵按兩下 [憑證],選取 [ 所有工作],然後選取 [ 匯入]

步驟 2

將存取新憑證私鑰的許可權新增至 AD FS 服務帳戶。 如果要執行這項操作,請依照下列步驟執行:

  1. 當本機計算機證書存儲仍然開啟時,請選取已匯入的憑證。

  2. 以滑鼠右鍵按兩下憑證,選取 [ 所有工作],然後選取 [ 管理私鑰]

  3. 新增執行 ADFS 服務的帳戶,然後至少授與帳戶讀取許可權。

    注意事項

    如果您沒有管理私密金鑰的選項,您可能必須執行下列命令:

    certutil -repairstore my *

步驟 3

使用 IIS 管理員將新憑證系結至 AD FS 網站。 如果要執行這項操作,請依照下列步驟執行:

  1. 開啟 Internet Information Services (IIS) Manager 嵌入式管理單元。
  2. 流覽至 默認網站
  3. 以滑鼠右鍵按兩下 [預設網站],然後選取 [ 編輯系結]
  4. 選取 [HTTPS],然後選取 [ 編輯]
  5. 在 [SSL 憑證] 標題下選取正確的憑證。
  6. 選取 [確定],然後選取 [ 關閉]

步驟 4

將AD FS Server 服務設定為使用新的憑證。 如果要執行這項操作,請依照下列步驟執行:

  1. 開啟 AD FS 2.0 管理。

  2. 流覽至 AD FS 2.0\Service\Certificates

  3. 以滑鼠右鍵按兩下 [ 憑證],然後選 取 [設定服務通訊憑證]

  4. 從憑證選取 UI 中選取新的憑證。

  5. 選取 [確定]

    注意事項

    您可能會看到包含下列訊息的對話盒:
    憑證金鑰長度小於 2048 位。 密鑰大小小於 2048 位的憑證可能會有安全性風險,不建議這麼做。 是否要繼續?

    讀取訊息之後,請選取 [ 是]。 接著會出現另一個對話方塊。 其中包含下列訊息:

    請確定所選憑證的私鑰可供伺服器陣列中每部伺服器上此同盟服務的服務帳戶存取。

    它已在步驟 2 中完成。 選取 [確定]

是否仍需要協助? 移至 [Office 365 社群]