Azure 配置管理系列AD FS（PART3）

Azure 配置管理系列AD FS（PART3）

Azure 配置管理系列AD FS（PART1）

Azure 配置管理系列AD FS（PART2）

如果您决定让现有证书达到关键阈值，而不是调用证书生成过程，则只需要重新启用AutoCertificateRollover。

如果您决定要立即生成新的自签名证书，则需要首先重新启用AutoCertificateRollover，然后发出PowerShell命令来调用立即生成证书。

使用PowerShell命令重新启用

AutoCertificateRollover：Add-PSSnapin Microsoft.Adfs.PowershellSet-ADFSProperties -AutoCertificateRollover $ truePowerShell命令立即生成新的自签名证书：Add-PSSnapin Microsoft.Adfs.PowershellUpdate-AdfsCertificate

注意：更新令牌解密或令牌签名证书时会导致AD FS服务中断，因为中继方必须更新其配置才能获得新证书。当用户受中断影响最小时，请执行此工作。

在续订令牌签名和令牌解密证书之前，我建议您延长自签名证书的AD FS证书生存期。

登录到主AD FS服务器并打开提升的PowerShell提示。运行以下命令，以配置AD FS服务器以生成持续10年的自签名令牌签名和令牌解密证书，并启用自动证书回滚：

Set-ADFSProperties CertificateDuration 3650 -AutoCertificateRollover $ true

Update-AdfsCertificate -CertificateTypeUpdate-AdfsCertificate -CertificateTypeSet-ADFSProperties -AutoCertificateRollover $ false

使用Windows Azure PowerShell更新Office 365元数据：

Connect-MsolServiceUpdate-MsolFederatedDomain -DomainName domain.com -SupportMultipleDomain

Connect-MsolService

Update-MsolFederatedDomain -DomainName domain.com -SupportMultipleDomain

如果使用其他中继方元数据，则需要对其进行更新。例如，Microsoft必须通过在Office 365门户中打开支持凭单来手动更新Yammer本地（不是Office 365）。您将需要向他们提供令牌签名和令牌解密证书（减去私钥）。

关于WAP服务器的说明

如果您的组织使用Windows应用程序代理（WAP）服务器进行AD FS部署，则无需执行其他有关令牌签名和令牌解密证书的事情。WAP服务器仅使用服务通信SSL证书。

Azure 配置管理系列AD FS（PART1）

Azure 配置管理系列AD FS（PART2）

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。