ADFS Replace Service communications Certificate

Andres Bohren

2019-08-21

Hallo zusammen,

Im vorhergehenden Artikel habe ich euch ja gezeigt, wie man das GoDaddy Renewal Zertifikat im Certificate Store importiert und den private Key zuweist.

Das selbe Zertifikat nutze ich jedoch auch für meinen ADFS Server. Eine der Subject Alternative Names (SAN) lautet auf meine ADFS URL.

In den folgen Schritten zeige ich euch wie man das ADFS Service Communications Certificate ersetzt.

Im Certificate Store vom Local Computer muss man dem ADFS Service zugriff auf den Private Key geben und das geht so:

Zertifikat markieren -> All Tasks -> Manage Private Keys

Bei den Object Types "Service Accounts" aktivieren (fehlt nämlich in der standard Auswahl)

Und danach dem ADFS Service Account "Read" Permissions erteilen.

Prüfe ich das ADFS Zertifikat mit dem folgenden Befehl, so wird mir das aktuelle Zertifikat angezeigt.

Get-AdfsSslCertificate

Nun wechsle ich in die AD FS MMC Konsole. Dort unter Service --> Certificates --> Service communications -> Das Zertifikat markieren und auf der linken Seite "Set Service Communication Certificate" anklicken.

Nun wähle ich das neue Zertifikat aus (Gültig bis 2021)

Der Wizard weist mich darauf hin, dass wenn ich eine ADFS Farm habe, das Zertifikat auf allen ADFS Servern installiert sein muss, und auf allen Servern der ADFS Account auf den Private Key "Read" Permissions haben muss.