Lorsque le renouvellement de certificat automatique est activé, AD FS gère le certificat de déchiffrement de jetons. Si vous ...

Lorsque le renouvellement de certificat automatique est activé, AD FS gère le certificat de déchiffrement de jetons.
Si vous gérez manuellement votre certificat, suivez les instructions ci-dessous.
Bénéficiez d'un nouveau certificat de déchiffrement de jetons.
Assurez-vous que l'utilisation améliorée de la clé inclut le " Chiffrement de la clé ".
Objet ou Autre nom de l'objet (SAN) ne présente aucune restriction.
N'oubliez pas que vos serveurs de fédération et partenaires fournisseurs de demandes doivent être en mesure de s'associer à une autorité de certification racine approuvée lors de la validation de votre certificat de déchiffrement de jetons.
Décidez de quelle manière vos partenaires fournisseurs de demandes approuveront le certificat de déchiffrement de jetons
Demandez aux partenaires d'extraire les métadonnées de fédération après la mise à jour du certificat.
Partagez la clé publique du nouveau certificat (fichier .cer) avec les partenaires. Sur le serveur AD FS du partenaire fournisseur de demandes, lancez Gestion AD FS à partir du menu Outils d'administration. Sous Relations d'approbation/Approbations de la partie de confiance, sélectionnez l'approbation que vous avez créée. Sous Propriétés/Chiffrement, cliquez sur " Parcourir " pour sélectionner le nouveau certificat de déchiffrement de jetons et cliquez sur OK.
Installez le certificat dans le magasin de certificats, sur chacun de vos serveurs de fédération.
Assurez-vous que le fichier d'installation du certificat dispose de la clé privée du certificat sur chaque serveur.
Vérifiez que le compte de service FS (Federation Service) a accès à la clé privée du nouveau certificat.
Ajoutez le nouveau certificat AD FS.
Lancez Gestion AD FS à partir du menu Outils d'administration
Ouvrez Service et sélectionnez Certificats
Dans le volet Actions, cliquez sur Ajouter un certificat de déchiffrement de jetons
Vous verrez apparaître une liste de certificats valides pour le déchiffrement de jetons. Si votre nouveau certificat n'apparaît pas dans cette liste, revenez en arrière et assurez-vous que le certificat se trouve bien dans le magasin personnel de l'ordinateur local, muni d'une clé privée qui lui est associée, et que le chiffrement de la clé du certificat est défini avec l'attribut Utilisation améliorée de la clé.
Sélectionnez votre nouveau certificat de déchiffrement de jetons et cliquez sur OK.
Configurez le certificat de déchiffrement de jetons en tant que certificat principal.
Avec le noeud de certificats sélectionnés dans Gestion AD FS, vous devriez maintenant voir apparaître deux certificats énumérés sous Chiffrement de la clé : le certificat existant et le nouveau.
Sélectionnez votre nouveau certificat de déchiffrement de jetons, cliquez avec le bouton droit et sélectionnez Définir comme principal.
Conservez l'ancien certificat en tant que certificat secondaire, à des fins de renouvellement. Pensez à supprimer l'ancien certificat une fois qu'il n'est plus nécessaire pour le renouvellement, ou lorsque le certificat est arrivé à expiration.