ADFSの証明書入れ替えではまった話
-
Upload
genki-watanabe -
Category
Technology
-
view
2.051 -
download
17
Transcript of ADFSの証明書入れ替えではまった話
ADFSの証明書入れ替えではまった話Windows Server 2012 R2編
CLR/H Tokyo #6 Lightning Talk
Microsoft MVP for Office 365渡辺 元気
そろそろSSL証明書を更新なので入れ替えよう
Windows Server 2008 R2と大して変わらないだろ
まずはCSRの作成
さて、IIS立ち上げて・・・
あ、IISないんだった
いやいや、あせらず男は黙ってmakecert
あ
(・・・別のIISで作りました)
証明書できた。よし、インポート
続いてADFSの管理ツール・・・
いや、ちょっと待て。
確か某カリスマトレーナーのページで見たぞ。
そうだ、秘密鍵のアクセス権限だ
ふふん、それくらい想定済みだぜ
MMC -証明書で[秘密キーの管理]だったよな
これでADFSのサービスアカウントに読み取り権限だったよな
あれ? そういえば2012R2だからgMSA
なんだよな。アカウントなんだっけ?
既存見てコピればいっか。
ほぅ
adfssrvとdrsか
名前の確認
無い…
あ、そうか、ローカルアカウントか!
やっぱ無い…
(・・・必死にぐぐびんぐること3分)
見つけた
nt service\adfssrv
nt service\drs
だそうな・・・。
やっとインポートできた
やっとADFSの管理だ
[サービス][証明書]からサービス通信証明書の設定
もちろん、ちゃんとやってるよん。
動作確認
よしよし、今まで通り
ん?
何もかも今まで通り
そう、SSL証明書も!
OS再起動 ・・・ 効果無し
ADFSサービス再起動 ・・・ 効果無し
う~ん、上手くバインドできてないのか
IIS見てみるか
あ、IISないんだった(2回目)
どこでバインド管理してるんだっけ…。何か設定した覚えがあるなぁ。そうだ、KB2973873だ。
確かにthumbprint変わってない。
netsh
HTTP
DELETE SSLCert IPPORT=0.0.0.0:443
ADD SSLCert IPPORT=0.0.0.0:443 Certhash=新しい証明書のThumbprint Appid={5d89a20c-beab-4389-9447-
324788eb944a}
DELETE SSLCert HOSTNAMEPORT=sts.contoso.com:443
ADD SSLCert HOSTNAMEPORT=sts.contoso.com:443 Certhash=新しい証明書のThumbprint
Appid={5d89a20c-beab-4389-9447-324788eb944a} certstorename=MY sslctlstorename=AdfsTrustedDevices
DELETE SSLCert HOSTNAMEPORT=sts.contoso.com:49443
ADD SSLCert HOSTNAMEPORT=sts.contoso.com:49443 Certhash=新しい証明書のThumbprint
Appid={5d89a20c-beab-4389-9447-324788eb944a} certstorename=MY clientcertnegotiation=Enable
SETコマンドは無いので消して同じ設定で再作成
これでやっとADFS 1台完了
これをADFSファーム内で繰り返し
WAPの方も更新
予想通り、SSL証明書切り替わらず
(こちらはイベントログ記録あり)
・・・
全WAPサーバでnetshで削除~追加を繰り返し・・・
ようやく完了!
結論
○慣れていないと非常に面倒
○後でもう一度検証してblogにまとめておきます