背景:和原有的AD FS集成的周邊系統簽發的簽名證書到期,需要重新配置。
且公司對域名重新做了規划,需要更換ADFS的域名。
1.將包含新域名的通配符證書 *.example.com 導入AD FS Person/個人區域。
如提示描述,使用管理員權限執行命令
Set-ADFSProperties -AutoCertificateRollover $false
添加新證書后,刪除原有證書,且重新置為Set-ADFSProperties -AutoCertificateRollover $true
3.添加指紋Set-AdfsSslCertificate -Thumbprint f8d02ed2e08d53d65a53xxxxxxxxxxxxxxxxx1091報以下錯誤:
the SSL certificat specified by thumbprint xxxxx does not have a subject name that matches the speiafied Federation Service name: adfs.exam.com
原因如下:當初開啟AD FS服務時使用了adfs.exam.com域名作為AD FS的服務地址,如今新證書的域名為 adfs.example.com ,地址變更,無法匹配。
鑒於網上找了一圈,也沒有找到相關資料。最后決定重做AD FS。
移除原有AD FS服務,並安裝新的AD FS服務。
參考如下:
1.移除服務:
2.安裝AD FS服務
等待安裝完畢,啟動AD FS服務。
3.再次進入Power Shell, 執行
Set-AdfsSslCertificate -Thumbprint f8d02ed2e08d53d65a53xxxxxxxxxxxxxxxxx1091
認證指紋成功
至此,AD FS服務大功告成。
PS:我本次使用的是Windows Server 2016 EN, 因為我們的某個系統,不支持AD FS中文的NAME認證。
另外,網上有不少的諸如
netsh http show sslcert
netsh http delete sslcert ipprot=adfs.tylincn.com:443
netsh http delete sslcert ipport=0.0.0.0:443
Set-AdfsSslCertificate -Enablexxxxxxsinglesignon $true
等等奇淫巧技的命令,本次ADFS版本較高,用不上此類命令。
建議在安裝AD FS時,使用最新版本的Windows Server,坑相對老版本較少,且AD FS和AD 服務分開安裝。
另重要建議:再單間AD FS測試系統時,建議單獨創建一個測試環境的AD 域服務,與正常使用的域區分開。
有很多好處,包括不僅限於:1.完整且獨立的測試系統,2.OA系統可以連接AD測試環境 。