Si le renouvellement de certificats automatique est activé, AD FS se chargera de mettre à jour le certificat de signature de jetons.
Si vous gérez votre certificat manuellement, suivez les instructions ci-dessous.
- Bénéficiez d'un nouveau certificat de signature de jetons.
- Assurez-vous que l'utilisation améliorée de la clé (EKU) inclut " Signature numérique ".
- Objet ou Autre nom de l'objet (SAN) ne présente aucune restriction.
- N'oubliez pas que vos serveurs de fédération, vos serveurs de fédération de partenaires de ressources et serveurs d'application de parties de confiance doivent être en mesure de s'attacher à une autorité de certification racine approuvée lors de la validation de votre certificat de signature de jetons.
- Installez le certificat dans le magasin de certificats local, sur chaque serveur de fédération.
- Assurez-vous que le fichier d'installation du certificat dispose de la clé privée du certificat sur chaque serveur.
- Vérifiez que le compte de service FS (Federation Service) a accès à la clé privée du nouveau certificat.
- Ajoutez le nouveau certificat à AD FS.
- Lancez Gestion AD FS à partir du menu Outils d'administration.
- Ouvrez Service et sélectionnez Certificats
- Dans le volet Actions, cliquez sur Ajouter un certificat de signature de jetons...
- Vous verrez apparaître une liste de certificats valides pour le certificat de signature de jetons. Si votre nouveau certificat n'apparaît pas dans cette liste, revenez en arrière et assurez-vous que le certificat se trouve dans le magasin personnel de l'ordinateur local, muni d'une clé qui lui est associée, et que le certificat dispose d'une signature numérique.
- Sélectionnez votre nouveau certificat de signature de jetons et cliquez sur OK
- Informez toutes les parties de confiance de la modification apportée dans le certificat de signature de jetons.
- Les parties de confiance, qui utilisent les métadonnées de fédération AD FS, doivent extraire les métadonnées de fédération pour commencer à utiliser le nouveau certificat.
- ;Les parties de confiance qui N'UTILISENT PAS de métadonnées de fédération AD FS doivent mettre à jour manuellement la clé publique du nouveau certificat de signature de jetons. Partagez le fichier .cer avec les parties de confiance.
- Configurez le certificat de signature de jetons en tant que certificat principal.
- Avec le noeud de certificats sélectionnés dans Gestion AD FS, vous devriez maintenant voir apparaître deux certificats énumérés sous Signature de jetons : le certificat existant et le nouveau.
- Sélectionnez votre nouveau certificat de signature de jetons, cliquez avec le bouton droit et sélectionnez Définir comme principal
- Conservez l'ancien certificat en tant que certificat secondaire, à des fins de renouvellement. Pensez à supprimer l'ancien certificat une fois qu'il n'est plus nécessaire pour le renouvellement, ou lorsque le certificat est arrivé à expiration. N'oubliez pas que les sessions d'utilisateurs SSO actuelles sont signées. Les relations d'approbation actuelles du proxy AD FS utilisent des jetons qui sont signés et chiffrés via l'ancien certificat.
Si le mode de paiement sélectionné est associé à plusieurs abonnements, tous ces abonnements seront également mis à jour. ...
Si le numéro de téléphone que vous avez entré correspond à celui que vous avez indiqué pour votre compte Microsoft, vous ...
Si le paramètre /peruser est indiqué, les modifications de configuration apportées au Registre seront effectuées dans le ...
Si le problème persiste alors que vous avez vérifié que votre appareil est à jour, contactez votre administrateur en lui ...
Si le renouvellement de certificats automatique est activé, AD FS se chargera de mettre à jour le certificat de signature ...
Si le service KDC est arrêté, les utilisateurs ne pourront pas réaliser d'authentification via ce contrôleur de domaine à ...
Si les audits AD FS ne sont pas activés, suivez ces instructions : Octroyez au compte de service ADFS le droit " Générer ...
Si les services DFSR et NTFRS sont arrêtés, les contrôleurs de domaine ne seront pas en mesure de répliquer les données SYSVOL. ...
Si nous pensons qu'il y a un problème avec votre compte, nous utiliserons toutes vos informations de sécurité pour vous en ...