O365 Cloud Identity – Entendendo o cálculo do alerta sobre expiração de certificados no Office 365


Por: Cesar Hara
Em algum momento iremos nos deparar com o alerta abaixo apresentado pelo portal do Office 365:
clip_image002
 
O intuito deste artigo é explicar como o cálculo é realizado quando o certificado de Token Signing e consequentemente, Token decrypting estão prestes a expirar.
Antes precisamos entender algumas propriedades do ADFS, ao executar o comando “Get-AdfsProperties” a partir de um servidor ADFS, essas propriedades são exibidas:
clip_image003
 
AutoCertificateRollover: Controla se a renovação dos certificado ocorre de maneira automática, padrão é True.
CertificateGenerationThreshold: Número de dias em que o novo certificado primário será gerado antes da expiração do certificado primário/atual, padrão é 20 dias.
CertificatePromotionThreshold: Número de dias em que o novo certificado ficará como secundário antes de ser efetivamente configurado para primário, padrão é 5 dias.
Após entender esses atributos, vou utilizar o meu laboratório como exemplo, segue imagem dos certificados atuais e data de expiração:
clip_image005
 
A data em que a imagem do alerta foi vista é de 23/02/2016 e mostra que temos 6 dias para resolver a renovação dos certificados e atualizar o federation metadata.
Com base nesse alerta e a data em que o mesmo foi visto, a data de expiração dos certificados deveria ser 29/02/2016 porém o certificado expira somente dia 15/03/2016. Este cenário que gera muitas dúvidas, então vamos entender como esse cálculo funciona.
 
De acordo com o atributo CertificateGenerationThreshold, o novo certificado deve ser gerado 20 dias antes da data de expiração, nesse caso a data de expiração é 15/03/2016, e 20 dias antes dessa data, será dia 24/02/2016.
Lembram do atributo CertificatePromotionThreshold? Este atributo manterá o novo certificado como secundário por 5 dias, por tanto dia 29/02/2016 é a data que a renovação deve ocorrer e por esse motivo o portal do Office 365 gera o alerta.
 
Para facilitar, o seguinte cálculo deve ser feito:
Data de expiração do certificado 20 dias = Data do novo certificado
Data do novo certificado + 5 dias = Dia que deverá ocorrer a troca
No nosso exemplo:
15/03/2016 – 20 dias = 24/02/2016
24/02/2016 + 5 dias = 29/02/2016
 
Resumindo, após entender o cálculo podemos observar que o alerta sempre indicará que a renovação e atualização do federation metadata seja feita 15 dias antes da data de expiração efetiva dos certificados.
15/03/2016 – 15 dias = 29/02/2016
Comments (0)

Skip to main content