Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
CLR/H Tokyo #6 Lightning Talk 
ADFSの証明書入れ替えではまった話 
Windows Server 2012 R2編 
Microsoft MVP for Office 365 
渡辺元気
そろそろSSL証明書を更新なので入れ替えよう 
Windows Server 2008 R2と大して変わらないだろ
まずはCSRの作成
さて、IIS立ち上げて・・・
あ、IISないんだった
いやいや、あせらず男は黙ってmakecert
あ
(・・・別のIISで作りました)
証明書できた。よし、インポート
続いてADFSの管理ツール・・・
いや、ちょっと待て。 
確か某カリスマトレーナーのページで見たぞ。
そうだ、秘密鍵のアクセス権限だ 
ふふん、それくらい想定済みだぜ
MMC - 証明書で[秘密キーの管理]だったよな
これでADFSのサービスアカウントに 
読み取り権限だったよな
あれ? そういえば2012R2だからgMSA 
なんだよな。アカウントなんだっけ? 
既存見てコピればいっか。
ほぅ 
adfssrvとdrsか
名前の確認 
無い…
あ、そうか、ローカルアカウントか!
やっぱ無い…
(・・・必死にぐぐびんぐること3分)
見つけた
nt serviceadfssrv 
nt servicedrs 
だそうな・・・。
やっとインポートできた
やっとADFSの管理だ
[サービス][証明書]から 
サービス通信証明書の設定
もちろん、ちゃんとやってるよん。
動作確認
よしよし、今まで通り
何もかも今まで通り 
ん?
そう、SSL証明書も!
ADFSサービス再起動・・・効果無し 
OS再起動・・・効果無し
う~ん、上手くバインドできてないのか 
IIS見てみるか
あ、IISないんだった(2回目)
どこでバインド管理してるんだっけ…。 
何か設定した覚えがあるなぁ。 
そうだ、KB2973873だ。
確かにthumbprint変わってない。
netsh 
HTTP 
DELETE SSLCert IPPORT=0.0.0.0:443 
SETコマンドは無いので 
消して同じ設定で再作成 
ADD SSLCert IPPORT=0.0.0.0:443 Certhash=新しい証明書の...
これでやっとADFS 1台完了 
これをADFSファーム内で繰り返し
WAPの方も更新
予想通り、SSL証明書切り替わらず 
(こちらはイベントログ記録あり) 
・・・
全WAPサーバでnetshで削除~追加を 
繰り返し・・・
ようやく 
完了!
結論
○慣れていないと非常に面倒 
○後でもう一度検証してblogにまとめておきます
ADFSの証明書入れ替えではまった話
Upcoming SlideShare
Loading in …5
×

ADFSの証明書入れ替えではまった話

8,101 views

Published on

CLR/H Tokyo #6のLightning Talkの内容です。
Windows Server 2012 R2の

Published in: Technology

ADFSの証明書入れ替えではまった話

  1. 1. CLR/H Tokyo #6 Lightning Talk ADFSの証明書入れ替えではまった話 Windows Server 2012 R2編 Microsoft MVP for Office 365 渡辺元気
  2. 2. そろそろSSL証明書を更新なので入れ替えよう Windows Server 2008 R2と大して変わらないだろ
  3. 3. まずはCSRの作成
  4. 4. さて、IIS立ち上げて・・・
  5. 5. あ、IISないんだった
  6. 6. いやいや、あせらず男は黙ってmakecert
  7. 7.
  8. 8. (・・・別のIISで作りました)
  9. 9. 証明書できた。よし、インポート
  10. 10. 続いてADFSの管理ツール・・・
  11. 11. いや、ちょっと待て。 確か某カリスマトレーナーのページで見たぞ。
  12. 12. そうだ、秘密鍵のアクセス権限だ ふふん、それくらい想定済みだぜ
  13. 13. MMC - 証明書で[秘密キーの管理]だったよな
  14. 14. これでADFSのサービスアカウントに 読み取り権限だったよな
  15. 15. あれ? そういえば2012R2だからgMSA なんだよな。アカウントなんだっけ? 既存見てコピればいっか。
  16. 16. ほぅ adfssrvとdrsか
  17. 17. 名前の確認 無い…
  18. 18. あ、そうか、ローカルアカウントか!
  19. 19. やっぱ無い…
  20. 20. (・・・必死にぐぐびんぐること3分)
  21. 21. 見つけた
  22. 22. nt serviceadfssrv nt servicedrs だそうな・・・。
  23. 23. やっとインポートできた
  24. 24. やっとADFSの管理だ
  25. 25. [サービス][証明書]から サービス通信証明書の設定
  26. 26. もちろん、ちゃんとやってるよん。
  27. 27. 動作確認
  28. 28. よしよし、今まで通り
  29. 29. 何もかも今まで通り ん?
  30. 30. そう、SSL証明書も!
  31. 31. ADFSサービス再起動・・・効果無し OS再起動・・・効果無し
  32. 32. う~ん、上手くバインドできてないのか IIS見てみるか
  33. 33. あ、IISないんだった(2回目)
  34. 34. どこでバインド管理してるんだっけ…。 何か設定した覚えがあるなぁ。 そうだ、KB2973873だ。
  35. 35. 確かにthumbprint変わってない。
  36. 36. netsh HTTP DELETE SSLCert IPPORT=0.0.0.0:443 SETコマンドは無いので 消して同じ設定で再作成 ADD SSLCert IPPORT=0.0.0.0:443 Certhash=新しい証明書のThumbprint Appid={5d89a20c-beab-4389-9447- 324788eb944a} DELETE SSLCert HOSTNAMEPORT=sts.contoso.com:443 ADD SSLCert HOSTNAMEPORT=sts.contoso.com:443 Certhash=新しい証明書のThumbprint Appid={5d89a20c-beab-4389-9447-324788eb944a} certstorename=MY sslctlstorename=AdfsTrustedDevices DELETE SSLCert HOSTNAMEPORT=sts.contoso.com:49443 ADD SSLCert HOSTNAMEPORT=sts.contoso.com:49443 Certhash=新しい証明書のThumbprint Appid={5d89a20c-beab-4389-9447-324788eb944a} certstorename=MY clientcertnegotiation=Enable
  37. 37. これでやっとADFS 1台完了 これをADFSファーム内で繰り返し
  38. 38. WAPの方も更新
  39. 39. 予想通り、SSL証明書切り替わらず (こちらはイベントログ記録あり) ・・・
  40. 40. 全WAPサーバでnetshで削除~追加を 繰り返し・・・
  41. 41. ようやく 完了!
  42. 42. 結論
  43. 43. ○慣れていないと非常に面倒 ○後でもう一度検証してblogにまとめておきます

×