adfs更换 服务通信证书
1.将pfx证书安装到所有adfs服务器上,位置: 证书\计算机\个人
2.右击证书>所有任务>管理私钥>添加,将ADFS部署过程中添加的ADFS服账户赋权,读取权限即可
查看adfs服务,可以看到所用的服务账户
3.通过powershell命令设置新证书:
dir cert:\LocalMachine\My #获取新证书指纹
Set-AdfsCertificate -CertificateType Service-Communications -Thumbprint xxxxxxxx #设置服务通信证书
Set-AdfsSslCertificate -Thumbprint xxxxx #设置SSL证书
Restart-Service adfssrv #重启ADFS服务
默认情况下,AD FS 配置为自动生成令牌签名证书和令牌解密证书。 它会在初始配置期间和证书即将到期时执行此操作,
参考 https://learn.microsoft.com/zh-cn/windows-server/identity/ad-fs/operations/configure-ts-td-certs-ad-fs?source=recommendations
可以运行以下 PowerShell 命令:Get-AdfsProperties | FL AutoCert*, Certificate*
AutoCertificateRollover 设置为 True,表示AD FS 证书将在 AD FS 中自动续订和配置
CertificateGenerationThreshold表示adfs在证书到期前20天自动生成新证书
CertificatePromotionThreshold表示adfs在证书到期前5天自动应用新证书
手动更新令牌证书(未实际测试):
生成2张自签名证书,有效期99年
New-SelfSignedCertificate -CertStoreLocation Cert:\LocalMachine\My -NotAfter (Get-Date).AddYears(99) -Subject "ADFS Encryption - adfs.test19.com"
New-SelfSignedCertificate -CertStoreLocation Cert:\LocalMachine\My -NotAfter (Get-Date).AddYears(99) -Subject "ADFS Signing - adfs.test19.com"
2.ADFS管理器-证书,添加新证书,并设置为主要证书
参考:https://learn.microsoft.com/zh-cn/entra/identity/hybrid/connect/how-to-connect-emergency-ad-fs-certificate-rotation
标签:证书,com,ADFS,adfs,LocalMachine,更新,My From: https://blog.51cto.com/u_11508007/9157177