更换ADFS3.0的SSL 证书

 

最近的项目初期使用了自建域证书，结果在域外这个证书在IE里面无法添加到受信任的证书颁发机构（可能是由于无法连接到域的证书颁发机构的原因）。无奈之下，只好用makecert创建了自签名的ssl证书。下面是怎么去替换ADFS3.0的ssl证书。

A 替换ADFS3.0的证书

  1 将新的证书导入到ADFS3机器的个人存储区（是本地计算机的个人存储区）

  2 新的证书必须是pfx格式，有私钥的

  3 进入本地计算机证书管理单元(mmc)

  

选择导入的证书，然后所有任务-管理私钥，添加ADFS服务账户，注意，在查找服务账号的时候，要选择“服务账号" 这个选项。

4 进入ADFS管理单元，跳转到-服务-证书，然后选择设置通信证书

此时选择新的证书即可，如果选择时看不到新的证书，那意味着新证书没有导入到正确位置或者adfs服务账号不能读取证书的私钥。

5 在过几十秒后，到powershell中执行如下命令，替换adfs3的ssl证书（注意，adfs3是直接通过http.sys加载的，没有装在iis上，所以要通过powershell来替换ssL证书）

   执行 Set-AdfsSslCertificate -Thumbprint xxxxthumbprintofthenewsslcertxxxxx

    xxxxthumbprintofthenewsslcertxxxxx 就是新证书的thumbprint，可以从新证书的属性中看到，注意要去除掉中间的空格

6 重启adfs3.0服务。