ADFS Certyfikaty obsługi tokenów

Usługa ADFS oprócz podstawowego certyfikatu SSL wykorzystywanego do komunikacji, obsługuje również kilka innych typów certyfikatów. Mianowicie, rozróżniamy tutaj certyfikaty odszyfrowywania tokenu (Token-Decrypting) oraz certyfikat podpisywania tokenu (Token-Signing).

Ów certyfikaty generują się automatycznie i w przypadku ich wygaśnięcia domyślnie uruchamiany jest proces ich odnawiania. Zazwyczaj są one generowane na rok czasu, co w przypadku gdy są one intensywnie wykorzystywane np. w środowiskach deweloperskich może czasem sprawiać pewne trudności. Mianowicie, gdy dana jednostka uzależniona korzysta z w/w mechanizmów podpisywania lub szyfrowania tokenu, należy pamiętać by po stronie aplikacji końcowej był zdefiniowany odpowiedni akceptowalny certyfikat. W przeciwnym wypadku, komunikacja pomiędzy końcową web aplikacją, a usługą ADFS nie będzie działała prawidłowo.

Rozwiązaniem, powyższego problemu może okazać się wydłużenie czasu „żywotności” takiego certyfikatu, np. do kilku/kilkudziesięciu lat. Aby tego dokonać wystarczy zmodyfikować ustawienia usługi ADFS, poleceniem: Set-ADFSProperties

Set-ADFSProperties -CertificateDuration 3650

Jako jedyny niezbędny parametr wystarczy wskazać ilość dni, przez jaki ma być ważny certyfikat (CertificateDuration), czyli np. 10 lat, czyli około 3650.

Samo zwiększenie ilości czasu życia certyfikatu nie rozwiąże automatycznie problemy. Obecne certyfikaty odszyfrowywania oraz podpisywania, już zapewne istnieją w systemie, dlatego należy je podmienić nowymi. Nowe certyfikaty zostaną wygenerowane z wcześniej zdefiniowanym okresem ważności. Aby tego dokonać wystarczy dla odpowiednich certyfikatów zastosować polecenie: Update-ADFSCertificate.

Update-ADFSCertificate -CertificateType Token-Signing -Urgent

Update-ADFSCertificate -CertificateType Token-Decrypting -Urgent

Po wygenerowaniu nowych certyfikatów, należy równiez pamiętać o odpowiednich korektach w ramach końcowych webaplikacji, tak aby mogły one akceptować nowo wygenerowane certyfikaty.

Ostatecznie możliwe jest również wyłączenie mechanizmu automatycznego odnawiania certyfikatów. W tym przypadku wystarczy wyłączyć stosowną opcję usługi ADFS – AutoCertificateRollover.

Set-ADFSProperties -AutoCertificateRollover $false

Wydłużanie żywotności certyfikatu, może rozwiązać niektóre problemy, jak chociażby praca w środowisku testowym. Niemniej jednak, ze względów bezpieczeństwa nie zalecałbym zbytniego przesadzania, w szczególności gdy rzecz ma miejsce w produkcyjnych środowiskach.

 

Źródło:
https://technet.microsoft.com/pl-pl/itpro/powershell/windows/adfs/set-adfsproperties
https://technet.microsoft.com/pl-pl/itpro/powershell/windows/adfs/update-adfscertificate

Reklamy

Skomentuj

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Wyloguj / Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Wyloguj / Zmień )

Facebook photo

Komentujesz korzystając z konta Facebook. Wyloguj / Zmień )

Google+ photo

Komentujesz korzystając z konta Google+. Wyloguj / Zmień )

Connecting to %s