Office365 Exchange Hybrid No.26 ADFS更換證書

ADFS中有三種證書，令pai解密，令pai簽名以及服務通訊證書，這三種證書都是有有效期的，到期都須要進行更換，那其中令pai解密和令pai簽名是ADFS自帶的證書，沒法更換，只須要指令更新便可，惟獨服務通訊證書，也就是常說的公網證書，須要進行從新導入，設置。若是在證書有效期內對公網證書進行了修改，如增長新的SAN會從新生成一張公網證書，那麼這時候也是須要更換成新的公網證書的。

首先咱們須要更新ADFS的令pai簽名和令pai解密證書，在ADFS服務器上運行PowerShell命 令：

Update-AdfsCertificate -CertificateType:token-signing -Urgent:$true

Update-AdfsCertificate -CertificateType:Token-Decrypting -Urgent:$true

接下來咱們須要連到Office365遠程powershell，經過如下命令來更新聯盟域（若是又多個聯盟域請針對每一個域名執行一次update命令）

Update-MsolFederatedDomain -DomainName ucssi.cn

完成以上步驟後，將新的公網證書裝到ADFS服務器上（注意應該是PFX格式），運行-mmc-添加證書-我的證書-導入，此部分比較簡單就不佔用過多篇幅來講明瞭。

安裝完成公網證書後，在ADFS服務器上獲取新證書的信息，主要查看其Thumbprint的值，   運行命令：dir cert:\localmachine\my | fl

經過以上命令咱們能夠獲取到當前最新公網證書的Thumbprint的值（從生效日期到過時日期就能判別出來）

而後，使用以下命令更新ADFS服務器上的服務通訊證書ThumbPrint值：

Set-AdfsCertificate -CertificateType Service-Communications -Thumbprint #你的證書Thumbprint值#

Set-AdfsSslCertificate -Thumbprint #你的證書Thumbprint值#

以上步驟完成後，記得重啓ADFS服務，能夠在圖形化界面重啓ADFS服務，也可使用如下命令重啓ADFS服務

Restart-Service adf***v

最後，還須要鏈接Office365遠程powershell更新聯盟域（若是又多個聯盟域請針對每一個域名執行一次update命令）

Update-MsolFederatedDomain -DomainName ucssi.cn

以上是更換ADFS服務器證書的步驟，那麼ADFS Proxy服務器上的公網證書如何更換呢?方法也很簡單，一樣須要將最新的公網證書導入服務器，而後使用dir cert:\localmachine\my | fl命令來獲取最新公網證書的Thumbprint值，而後使用如下命令更新ADFS Proxy證書

Set-WebApplicationProxySslCertificate –Thumbprint #你的證書Thumbprint值#

運行完成後須要重啓ADFS和Web Application Proxy 服務

完成以上全部步驟後便可完成整個ADFS證書更換。

小總結：

ADFS證書更換並非將新證書導入，而後在ADFS管理中心選擇新證書那麼簡單。也是須要給這個證書分配服務的，這點經過Exchange的證書來理解就恍然大悟了！