AD FS – zmiana certyfikatu SSL

AD FS (Active Directory Federation Services) to usługa bezpiecznego udostępniania tożsamości poprzez jednorazowe logowanie (SSO), dzięki tej usłudze jesteśmy w stanie zalogować się do aplikacji zewnętrznych wykorzystując login/hasło konta z Active Directory.

W przypadku mojej konfiguracji są to dwa serwery działające w trybie farmy AD FS, dzięki nim użytkownicy domeny którą zarządzam są w stanie zalogować się wykorzystując swój login/hasło np. do Google Gmail lub Office 365. Nadmienię tylko, że w trybie farmy konfiguracja serwerów jest synchronizowana – zmiany wprowadzamy tylko na jednym, głównym serwerze, przy próbie ręcznego wprowadzenia zmian na drugim serwerze dostaniemy informację, że zmiany możliwie są do wprowadzenia tylko i wyłącznie na serwerze oznaczonym jako „Primary”

….

Jak dobrze wiecie certyfikaty wygasają ;-) , więc pewnie za jakiś czas każdy kto zajmuję się usługą Active Directory Federation Services stanie przed problemem zmiany certyfikatu SSL.

AD FS 2.2 (2012 R2) nie wymaga IIS, więc zmiana certyfikatu odbywa się trochę inaczej.

Byłem przekonany, że zmiana certyfikatu Service communication odpowiedzialnego za szyfrowanie wszystkich połączeń klientów wystarczy, okazało się,że nie. Przeglądarka twardo informowała, że korzysta ze starego certyfikatu…

Zmiana certyfikatu Service communication

AD FS Management -> Service -> Certificates -> Set Service Communication Certificate

Sam certyfikat, który wykorzystywany jest przez przeglądarkę zmienimy już tylko wykorzystując polecenia PS.

Set-AdfsSslCertificate -Thumbprint thumbprint

Do sprawdzenia czy został zmieniony:

Get-AdfsSslCertificate

Na koniec restart usługi AD FS, test w przeglądarce.

ozz.

jak sprawdzić podstawowy adresy SMTP

adresy email zapisane są w atrybucie wielowartościowym proxyaddresses. adres podstawowy wyróżniony jest dużymi literami SMTP. zatem trick polega na wylistowaniu wszystkich tych wartości z tablicy, które są dużymi literami. służy do tego operator cmatch. w poniższym przykładzie dla o365:

get-msoluser -all|select userprincipalname,@{N="primarySMTP";E={$_.proxyaddresses -cmatch 'SMTP'}}

eN.

1o LAT W-Files!

1oteUroWF

pierwszy wpis na w-files datowany jest na maj 2oo5. dekada (:

w tym czasie:

  • dwukrotnie zmieniany był silnik blogowy
    • do końca 2oo7 na blogspocie (w-files.blogspot.com), potem WP (do 2o13) i następnie migracja do nowego WP
  • 2186 wpisów
    • to ok o.6 wpisu dziennie
    • 18 draftów
    • 1 prywatny
    • 1541 wpisów moich – nExoR
    • następni: Cabi (265), jennix (129), d0mel (86), daro (72), koyn (42), wasyl (18), peki (7), ozz (2)
  • zaliczone jedno włamanie
  • statystyk.. powiem szczerze – nie umiem ich czytać. z tego co rozumiem to jest ok. 2oo stałych czytelników bo tyle mniej-więcej jest zawsze indywidualnych odwiedzin w dniu publikacji. w miesięcznych pokazuje ok 3.ooo indywidualnych odwiedzających ale zakładam, że to mobilne IP.
  • komentarzy robić nie lubicie a jeśli wywiązuje się dysqsja to głównie na buniu (;

tak się składa, że maj, to również urodziny WGUiSW. na majowym, 71 spotkaniu, odbędzie się więc łączona impreza – 7 urodziny WGUiSW i 1o uro W-Files

WGUiSW7latbędzie jakaś zwyczajowa sesja, będzie tort i będą niespodzianki =^.^’=

OTANJOUBI OMEDETOU W-FILES!

 

=^.^’=

eN.

7o. spotkanie WGUiSW

big_wguiswjuż dziś 7o-te spotkanie WGUiSW. a na nim siła młodych. na dzieńdobry kilka przystawek, następnie ostatnia, 4ta, część PowerCycle i na koniec słowo o migracjach.

o czym dokładnie będzie ostatnia sesja – sam jestem ciekawe. natomiast ostatnia część PowerCycle zmieni nieco bohatera pierwszoplanowego – PowerShell będzie wyłącznie narzędziem wykorzystywanym w tle, a cała sesja będzie 'opowiadaniem’ jak znaleźć igłę w stogu WMI – czyli taka dość praktyczna sesja na pograniczu inżynierii systemowej, hyper-v i PowerShell.

zapraszamy =^.^’=

eN.