我是微軟Dynamics 365 & Power Platform方面的工程師羅勇,也是2015年7月到2018年6月連續三年Dynamics CRM/Business Solutions方面的微軟最有價值專家(Microsoft MVP),歡迎關注我的微信公眾號 MSFTDynamics365erLuoYong ,回復389或者20200120可方便獲取本文,同時可以在第一間得到我發布的最新博文信息,follow me!
今天我登錄自己的Dynamics 365 Customer Engagement V9.0版本報錯,如下:
用JavaScript的 decodeURIComponent 解開,意思是:
錯誤詳細信息: ID4175: The issuer of the security token was not recognized by the IssuerNameRegistry. To accept security tokens from this issuer, configure the IssuerNameRegistry to return a valid name for this issuer.
打開我服務器的 AD FS管理器一看,SSL證書到期了,自動生成了自簽名的新證書。
根據我的文檔 為實施了IFD的Dynamics 365更換自簽名的SSL證書以符合Chrome的要求 進行更換。
先把證書導入到如下Personal位置:
然后將導入后的證書不帶私鑰導出
然后將剛才導出的證書導入 Trusted Root Certification Authorities 這個位置。
輸入MMC打開證書控制台,導航到 Certificates > Personal > Certificates ,右擊新導入的證書,選擇 All Tasks > Manage Private Keys ...
授予 CRMAppPool 應用程序的運行賬號對該證書的讀取權限,還有就是AD FS服務運行賬號對該證書也要有讀取權限。
然后為 Microsoft Dynamics CRM 這個IIS站點更換綁定的證書為新的證書,並重啟下IIS。
然后打開AD FS管理器,點擊右邊的 【Set Service Communications Certificate ...】,選擇新證書,並點擊【OK】按鈕。
然后用管理員身份打開Power Shell,執行命令:Set-ADFSProperties -AutoCertificateRollover $false
點擊AD FS管理器右邊的 【Add Token-Signing Certificate...】,選擇新導入的證書點擊【OK】按鈕。
點擊AD FS管理器右邊的 【Add Token-Decrypting Certificate...】,選擇新導入的證書點擊【OK】按鈕。
然后我新添加的Token-decrypting 和 Token-signing 證書設置為主證書,也就是右擊證書,選擇【Set as Primary】。一般我為了干凈整潔,我還會將不用的證書刪除掉,你可以不做。
彈出對話框提示(Setting this certificate to be the primary token-signing certificate will break the trust relationship with any relying party that does not have this certificate. Do you want to continue?)的話選擇【Yes】。
然后打開Dynamics 365部署管理器,點擊【配置基於聲明的身份驗證】,大部分步驟不用變,但是證書一定要確保選擇的是新證書。
然后就是更新之前使用該證書的信賴方信任,我這里只有Dynamics 365 Customer Engagement使用的信賴方信任,如果你這里有多個,都更新一下。
然后看下新證書的指紋
最后執行下如下命令(Thumbprint參數的值請自行替換為自己的),重啟下AD FS服務即可。可以通過 dir cert:\LocalMachine\My 命令來復制Thumbprint參數的值
Set-AdfsSslCertificate -Thumbprint 7461BFC1E57AF223E389FAF887BF78A2BB782C65