AD FS の自動証明書ロールオーバー機能について

AD FS の自動証明書ロールオーバー機能についてご案内します。 (a) ご案内の目的 (b) 対象の AD FS (c) 自動証明書ロールオーバー機能とは (d) 想定されるリスク (e) 対処策 (f) 補足   (a) ご案内の目的 AD FS の自動証明書ロールオーバー機能が動作することで、連携をしていただいているサービス (RP・IdP) によりましては運用に影響を及ぼす可能性がございます。 そのため、多くのお客様に正しく AD FS の自動証明書ロールオーバー機能をご理解いただけますよう、その一助となればと思いまして本ご案内にて情報の提供を行わせていただくことになりました。   (b) 対象の AD FS 本ご案内の対象となる AD FS は以下になります。 Windows Server 2008 R2 の AD FS 2.0 Windows Server 2012 の AD FS 2.1 Windows Server…


AD FS の証明書更新手順(トークン署名証明書、トークン暗号化解除証明書)

皆様、こんにちは。Azure & Identity サポート担当の竹村です。 前回に引き続き、本エントリではトークン署名証明書、トークン暗号化解除証明書の更新手順をご紹介いたします。   トークン署名証明書、トークン暗号化解除証明書は AD FS が発行する自己証明書であり、既定では1年に1回自動的に新しい証明書の作成、更新処理が行われます。 これを、自動ロールオーバー機能と呼びます。   自動ロールオーバー機能は、具体的には以下のように動作します。 1. 有効期限が切れる 20 日前に、セカンダリのトークン署名/トークン暗号化解除証明書を作成します。 2. 上記 1 でセカンダリの証明書が作成されてから 5日後に、セカンダリの新しい証明書がプライマリとなり、実際に利用されるようになります。 ※ この 5日間の間に、証明書利用者信頼に新しい証明書を登録する必要があります。   ※ 2019/02/14 追記 証明書利用者信頼にアップロードされるのはトークン署名証明書ですが、トークン暗号化解除証明書につきましても認証の際に利用されますので、有効期限が切れますと認証に失敗します。 トークン署名証明書だけでなく、トークン暗号化解除証明書につきましても有効期限内での更新が必要です。   ここでは、これらの証明書を手動で更新する手順をご案内いたします。 また、補足として証明書の有効期限を既定の 1年 から変更する方法についても併せてご紹介いたします。   – 対象リリース Windows Server 2012 R2 (AD FS 3.0)   – 更新手順 以下の流れで更新作業を行います。   —————— 手順の概要 —————— 1….


AD FS の証明書更新手順 (SSLサーバー証明書)

皆様、こんにちは。Azure & Identity サポート担当の竹村です。 今回は、比較的多くのお客様からお問合せをいただく、AD FS の証明書更新手順をご紹介します。 本エントリでは SSLサーバー証明書 (サービス通信証明書) の手順をご紹介し、次回にトークン署名証明書、トークン暗号化証明書についてもご案内したいと思います。   – 対象リリース Windows Server 2012 R2 (AD FS 3.0)   – 更新手順 以下の流れで更新作業を行います。   —————— 手順の概要 —————— 1. 証明書の取得 2. SSL サーバー証明書、ルート証明書、中間証明書のインストール 3. SSL サーバー証明書のアクセス権設定 4. AD FS のサービス通信証明書へ SSL サーバー証明書を設定 5. AD FS の SSL サーバー証明書を更新 6. WAP サーバーを再構成   それぞれの詳細を後述致します。 —————————————————————-…