ADFSの証明書入れ替えではまった話Windows Server 2012 R2編

CLR/H Tokyo #6 Lightning Talk

Microsoft MVP for Office 365渡辺 元気

そろそろSSL証明書を更新なので入れ替えよう

Windows Server 2008 R2と大して変わらないだろ

まずはCSRの作成

さて、IIS立ち上げて・・・

あ、IISないんだった

いやいや、あせらず男は黙ってmakecert

あ

（・・・別のIISで作りました）

証明書できた。よし、インポート

続いてADFSの管理ツール・・・

いや、ちょっと待て。

確か某カリスマトレーナーのページで見たぞ。

そうだ、秘密鍵のアクセス権限だ

ふふん、それくらい想定済みだぜ

MMC -証明書で[秘密キーの管理]だったよな

これでADFSのサービスアカウントに読み取り権限だったよな

あれ？ そういえば2012R2だからgMSA

なんだよな。アカウントなんだっけ？

既存見てコピればいっか。

ほぅ

adfssrvとdrsか

名前の確認

無い…

あ、そうか、ローカルアカウントか！

やっぱ無い…

（・・・必死にぐぐびんぐること3分）

見つけた

nt service\adfssrv

nt service\drs

だそうな・・・。

やっとインポートできた

やっとADFSの管理だ

[サービス][証明書]からサービス通信証明書の設定

もちろん、ちゃんとやってるよん。

動作確認

よしよし、今まで通り

ん？

何もかも今まで通り

そう、SSL証明書も！

OS再起動 ・・・ 効果無し

ADFSサービス再起動 ・・・ 効果無し

う～ん、上手くバインドできてないのか

IIS見てみるか

あ、IISないんだった（2回目）

どこでバインド管理してるんだっけ…。何か設定した覚えがあるなぁ。そうだ、KB2973873だ。

確かにthumbprint変わってない。

netsh

HTTP

DELETE SSLCert IPPORT=0.0.0.0:443

ADD SSLCert IPPORT=0.0.0.0:443 Certhash=新しい証明書のThumbprint Appid={5d89a20c-beab-4389-9447-

324788eb944a}

DELETE SSLCert HOSTNAMEPORT=sts.contoso.com:443

ADD SSLCert HOSTNAMEPORT=sts.contoso.com:443 Certhash=新しい証明書のThumbprint

Appid={5d89a20c-beab-4389-9447-324788eb944a} certstorename=MY sslctlstorename=AdfsTrustedDevices

DELETE SSLCert HOSTNAMEPORT=sts.contoso.com:49443

ADD SSLCert HOSTNAMEPORT=sts.contoso.com:49443 Certhash=新しい証明書のThumbprint

Appid={5d89a20c-beab-4389-9447-324788eb944a} certstorename=MY clientcertnegotiation=Enable

SETコマンドは無いので消して同じ設定で再作成

これでやっとADFS 1台完了

これをADFSファーム内で繰り返し

WAPの方も更新

予想通り、SSL証明書切り替わらず

（こちらはイベントログ記録あり）

・・・

全WAPサーバでnetshで削除～追加を繰り返し・・・

ようやく完了！

結論

○慣れていないと非常に面倒

○後でもう一度検証してblogにまとめておきます