ADFS 证书自动更新问题
确定ADFS是否开启自动更新
查看ADFS属性
-
登陆ADFS服务器
-
打开powershell,执行 Get-AdfsProperties
-
如果 AutoCertificateRollover 设置为 TRUE,则 AD FS 证书将在 AD FS 中自动续订和配置。配置新证书后,为了避免中断,您必须确保使用此新证书更新每个联合合作伙伴(在您的 AD FS 场中由信赖方信任或声明提供者信任表示)。
-
如果 AD FS 未配置为自动续订令牌签名和令牌解密证书(如果 AutoCertificateRollover 设置为 False),则 AD FS 将不会自动生成或开始使用新的令牌签名或令牌解密证书。您必须手动执行这些任务。
-
如果 AD FS 配置为自动续订令牌签名和令牌解密证书(AutoCertificateRollover 设置为 TRUE),您可以确定何时续订它们:
CertificateGenerationThreshold 描述在证书的 Not After 日期之前多少天将生成新证书。
CertificatePromotionThreshold 确定在新证书生成后多少天将其提升为主证书(换句话说,AD FS 将开始使用它来签署其颁发的令牌并解密来自身份提供者的令牌)。
如何确定当前证书何时到期
- 您可以运行以下 Windows PowerShell 命令:( Get-AdfsCertificate –CertificateType token-signing或 Get-AdfsCertificate –CertificateType token-decrypting )。或者您可以检查 MMC 中的当前证书:Service->Certificates。
- Not After显示的日期是必须配置新的主令牌签名或解密证书的日期。