關注本人微信和易信公眾號: 微軟動態CRM專家羅勇 ,回復259或者20170704可方便獲取本文,同時可以在第一間得到我發布的最新的博文信息,follow me!我的網站是 www.luoyong.me 。
從某個時間開始,用Chrome瀏覽器訪問我自己做了IFD的Dynamics 365環境出現如此問題,地址欄的SSL證書標記為不安全,展示內容是警告標記,大字體顯示你的連接不是私密鏈接。
當然,點擊高級鏈接以后,再點擊 繼續前往demo.luoyong.me (不安全) 是可以繼續訪問。
我這個Chrome的版本是 版本 59.0.3071.115(正式版本) (64 位),如果你使用較低版本的Chrome是沒有這個問題的,當然使用IE瀏覽器或者Microsoft Edge瀏覽器也沒有問題。
BUT,做了IFD登錄的Dynamics 365登錄需要跳轉好幾次,每次都要這么繁瑣操作下,多少有些不能忍。點擊SSL證書錯誤下的 了解詳情,出來的網址是Google的:https://support.google.com/chrome/?p=ui_security_indicator ,祖國大陸不能訪問,你懂得。我找到了另外一篇文章: Google Chrome SSL Certificate Errors and Troubleshoot Guide 。
說是你的站點連接如果是1024位加密或者是用SHA-1加密那么就會被提示是不安全的連接,SO,我們來更換證書符合要求,Follow Me。
先截圖顯示我這個有問題的證書信息如下:
然后我使用管理員身份打開PowerShell,先使用命令 $PSVersionTable.PSVersion 查看版本,Major版本應該要求大於等於5。若版本太低,請升級PowerShell。
然后生成一個新證書,命令是:New-SelfSignedCertificate -DnsName "*.luoyong.me" -Provider "Microsoft Enhanced Cryptographic Provider v1.0" -KeyAlgorithm RSA -KeyLength 2048 -CertStoreLocation "cert:\LocalMachine\My" -NotAfter (Get-Date).AddMonths(36)
命令執行后,輸入命令mmc打開證書控制台可以看到新建的證書如下,然后右擊該證書,將該證書導出來,注意導出證書的時候需要導出私鑰,再導入到服務器上的 個人>證書位置。
導入以后記得要對把這個證書的相關讀取權限授予給相關賬號,主要是運行CRM網站應用程序池的賬號。
還需要將證書導出,注意這次證書不要導出私鑰,然后導入到服務器的 受信任的根證書頒發機構。
現在我就可以更改IIS站點和AD FS使用的證書了,我先更改IIS使用的證書,打開IIS,選擇Microsoft Dynamics CRM站點,更換其SSL證書為新生成的證書。然后建議重啟IIS。
然后我們打開 AD FS管理器,導航到 服務>證書,點擊右邊的 設置服務通信證書 連接,更換為新生成的證書。
然后利用類似的方法更新添加令牌簽名證書和添加令牌解密證書,在執行這個操作之前先用PowerShell執行命令 Set-ADFSProperties -AutoCertificateRollover $false 。
更換完畢后需要將新證書設置為主證書,我這里還刪除了以前的證書,估計這個步驟可以不做。
還必須更新下CRM相關的兩個信賴方信任,確保不會報錯。
還需要使用管理員身份使用PowerShell執行先命令
dir cert:\LocalMachine\My
查看到自己新創建證書的Thumbprint ,然后執行如下命令,執行完畢后重啟AD FS服務。
Set-AdfsSslCertificate -Thumbprint 54EBD408A83FD25573D2C5744F32C120575FF288
最好還通過 netsh http show sslcert 命令看下新的SSL證書是否綁定到對應的AD FS監控端口上。
還需要打開Dynamics 365部署管理器,配置基於聲明的身份驗證,第二步選擇證書的時候選擇新導入的證書。全部動作完成后最好重啟下IIS。
看看效果,在 59.0.3071.115(正式版本) (64 位)的Chrome效果如下,沒有證書錯誤了:
