前回の投稿について、識者からいくつかコメントを頂きました。
- 自己証明書ではなく、サービス通信証明書をトークン暗号化・トークン署名でも使ったらどうか?
確かに、ADFS関連のトレーニングではこちらの手順についても教えて頂いた記憶がございます。更新時は手動で更新になってしまいますが、全部一緒のタイミングであれば更新し忘れも無いですし、証明書更新のためシステム少し止めますよと言っても理解が得られそうです。
何より面倒くさければ最初から3年間有効な証明書とか買ってしまえば済むことですしね。
- Office365なのに350日で利用出来なくなるのが問題なのだから、名前をOffice350にすれば良いのでは?
なるほどwww
というわけで、私の方でも少し対処を考えてみました。そもそも、ADFSの自己証明書の
- 期間は365日
- 切れる20日前に新しい自己証明書を発行(セカンダリに)
- 2から5日経ったらセカンダリの証明書をプライマリに昇格させる
という値が問題になっているということです。こういった物は、きっとパラメーターになっていて、PowerShellなら設定出来るでしょうということで、PowerShellでGet-ADFSPropertiesコマンドを実行してみます。
すると、それっぽいパラメータがあります。
- CertificateDuration : 365
- CertificateGenerationThreshold : 20
- CertificatePromotionThreshold : 5
と言うわけで、証明書の期間を10年にして新しい自己証明書を発行してみます。
Set-AdfsProperties -CertificateDuration 3650 Update-ADFSCertificate -Urgent Update-MsolFederatedDomain -DomainName contoso.com
これで、ADFSの自己証明書が10年に更新されました。ちなみに、通常はUpdate-ADFSCertificateはUrgentオプションを付けずに実行し、セカンダリの証明書として作成をします。プライマリに昇格するまでの5日間の間に、Update-MsolFederatedDomainコマンドにより新しい証明書をOffice365に転送します。
Office365側にも無事に転送され、10年として認識されていますようです。
と言うわけで、後で忘れそうな方は最初から延長してからADFS環境を組むのも良いかもしれません。
Pingback: ADFS自己署名証明書の入替時の注意点 – WIFアプリケーション編 | Always on the clock
Pingback: ADFS自己署名証明書の入替時の注意点 – WIFアプリケーション編 – Always on the clock
Pingback: ADFS自己署名証明書の入替時の注意点 – WIFアプリケーション編 | Always on the clock