O365 Cloud Identity – Entendendo o cálculo do alerta sobre expiração de certificados no Office 365

  • Article

Por: Cesar Hara

Em algum momento iremos nos deparar com o alerta abaixo apresentado pelo portal do Office 365:

clip_image002

 

O intuito deste artigo é explicar como o cálculo é realizado quando o certificado de Token Signing e consequentemente, Token decrypting estão prestes a expirar.

Antes precisamos entender algumas propriedades do ADFS, ao executar o comando “Get-AdfsProperties” a partir de um servidor ADFS, essas propriedades são exibidas:

clip_image003

 

AutoCertificateRollover: Controla se a renovação dos certificado ocorre de maneira automática, padrão é True.

CertificateGenerationThreshold: Número de dias em que o novo certificado primário será gerado antes da expiração do certificado primário/atual, padrão é 20 dias.

CertificatePromotionThreshold: Número de dias em que o novo certificado ficará como secundário antes de ser efetivamente configurado para primário, padrão é 5 dias.

Após entender esses atributos, vou utilizar o meu laboratório como exemplo, segue imagem dos certificados atuais e data de expiração:

clip_image005

 

A data em que a imagem do alerta foi vista é de 23/02/2016 e mostra que temos 6 dias para resolver a renovação dos certificados e atualizar o federation metadata.

Com base nesse alerta e a data em que o mesmo foi visto, a data de expiração dos certificados deveria ser 29/02/2016 porém o certificado expira somente dia 15/03/2016. Este cenário que gera muitas dúvidas, então vamos entender como esse cálculo funciona.

 

De acordo com o atributo CertificateGenerationThreshold, o novo certificado deve ser gerado 20 dias antes da data de expiração, nesse caso a data de expiração é 15/03/2016, e 20 dias antes dessa data, será dia 24/02/2016.

Lembram do atributo CertificatePromotionThreshold? Este atributo manterá o novo certificado como secundário por 5 dias, por tanto dia 29/02/2016 é a data que a renovação deve ocorrer e por esse motivo o portal do Office 365 gera o alerta.

 

Para facilitar, o seguinte cálculo deve ser feito:

Data de expiração do certificado - 20 dias = Data do novo certificado
Data do novo certificado + 5 dias = Dia que deverá ocorrer a troca

No nosso exemplo:

15/03/2016 – 20 dias = 24/02/2016
24/02/2016 + 5 dias = 29/02/2016

 

Resumindo, após entender o cálculo podemos observar que o alerta sempre indicará que a renovação e atualização do federation metadata seja feita 15 dias antes da data de expiração efetiva dos certificados.

15/03/2016 – 15 dias = 29/02/2016