Dynamics CRM產品一般有兩種認證方式。第一種是基於聲明的內部訪問也就是無證書單純用賬號密碼驗證。第二種就是聯合身份認證,需要安裝網站證書。
對於聯合身份認證的情況因為需要安裝證書,而且證書是有一個一年的有效期,所以運維人員每年都需要進行證書更換的操作。以下就是更換證書的方法及過程。
證書根據申請方式一般也分兩種,第一種是自建證書,這種證書是沒有機構認證的所以安裝上之后網站因為沒有公網的認證會提示安全風險。第二種是公網證書,由網站運營者向證書頒發機構申請的證書,此證書安裝好后網站不會有安全風險提示。
一、自建證書申請(使用公網證書可以忽略這一步)
打開CRM服務器的IIS,選擇服務器證書雙擊進入
點擊右側的創建證書申請
填寫證書的申請信息,點擊下一步
加密服務提供程序選擇默認,位長選2048
完成后會生成一個txt文件保存了證書申請信息需要選擇一個路徑
打開生成的文件可以看到證書的信息
進入到證書服務器,在證書服務器的瀏覽器中輸入"http://機器名/certsrv",輸入服務器用戶和密碼之后,進入到證書申請界面,點擊申請證書
選擇"高級證書申請"
點擊下圖的鏈接
將證書信息復制到"保存的申請",證書模板選擇"Web 服務器"。點擊"提交"。
提交之后點擊證書下載就可以將服務器證書下載好了
下載完成之后,將證書另存為指定文件,這里命名為"CRMCert.cer"
證書下載成功之后,返回IIS服務器證書申請,點擊"完成證書申請"
導入證書,給證書命名
選擇新導入的證書,將證書導出為.pfx文件
指定將證書導出為.fpx的文件,填入證書的密碼。點擊"確定"購買的證書直接就是.fpx格式的
二、服務器證書更換
證書申請完成之后,需要為CRM應用程序池配置證書的訪問權限,進入到MMC控制台。點擊"文件",選擇"添加/刪除管理單元"
選擇"證書",點擊"添加"
在彈出框中,選擇"計算機賬戶",點擊"下一步"
保持默認選項,點擊"完成",證書就會被添加到MMC控制台
點擊"確定"
在"個人-證書"中,找到申請的證書,右擊,選擇"所有任務-管理私鑰"
點擊"添加",將"NETWORK SERVICE"用戶加入
進入ADFS服務器雙擊導出的.pfx文件進行證書安裝。
打開AD FS管理器,替換服務器通信證書
三、更換服務器證書指紋
查看新證書指紋
服務器如果沒有識別ADFS的話需要運行如下命令 ”Add-PSSnapin Microsoft.Adfs.PowerShell“
查看證書指紋 get-AdfsSslCertificate
按類型查看證書指紋, Get-AdfsCertificate 之后找到服務器通信證書
tips:獲取單一類型的證書命令:
1、服務器通信證書:Get-AdfsCertificate –CertificateType Service-Communications
2、令牌簽名證書:Get-AdfsCertificate –CertificateType token-signing
3、令牌解密證書:Get-AdfsCertificate –CertificateType token-decrypting
執行以下命令 Set-ADFSProperties -AutoCertificateRollover $false 設置自動續期為false
更換指紋 Set-AdfsSslCertificate-Thumbprint:XXXXXXXXXX 設置證書指紋
按照證書類別更新證書指紋:
1、Set-AdfsCertificate –CertificateType Service-Communications -Thumbprint xxxxxxxxxxx 設置通信服務證書指紋
2、Set-AdfsCertificate –CertificateType token-signing -Thumbprint xxxxxxxxxxx 設置令牌簽名證書指紋
3、Set-AdfsCertificate –CertificateType token-decrypting -Thumbprint xxxxxxxxxxx 設置令牌解密證書指紋
更換完證書要將Set-ADFSProperties -AutoCertificateRollover $true 設置自動續期為true
重啟ADFS服務
重新部署一下CRM兩個驗證
彈出證書選擇要選擇新的證書
