How to Renew the Exchange Federation Certificate?

Office 365’te şirket içi Exchange ile Azure Active Directory Kimlik Doğrulama sistemi (Microsoft Federation Gateway olarak da bilinir) arasında bir güven oluşturmak için bir federasyon sertifikası gereklidir. Federasyon sertifikasının süresi dolduğunda veya çalışmayı bıraktığında, kullanıcıların OWA, ECP vb. gibi Exchange hizmetlerine erişememesine neden olan bağlantı sorunlarına yol açabilir. Bu nedenle, federasyon sertifikasını mümkün olan en kısa sürede güncellemek veya yenilemek kritik öneme sahiptir.

Adım 1: Yeni bir Federasyon Sertifikası Oluşturun

Get-ExchangeCertificate -Thumbprint (Get-FederationTrust).OrgCertificate.Thumbprint | ft -Auto Thumbprint,NotAfter

$ski = [System.Guid]::NewGuid().ToString(“N”)

New-ExchangeCertificate -DomainName “Federation” -FriendlyName YourDomain.com -Services Federation -KeySize 2048 -PrivateKeyExportable $true -SubjectKeyIdentifier $ski

Yeni sertifikayı Exchange Sunucularına göndermek için EMS’de aşağıdaki PowerShell komutunu çalıştırın.

Get-FederationTrust | Set-FederationTrust -Identity “Federation” -Thumbprint -RefreshMetaData

Alan Adı Sahipliği Kanıtı TXT Kaydını Edinin ve Güncelleyin ve Eski/Süresi Dolmuş Federasyon Sertifikasını Kaldırın veya Silin

Get-FederatedDomainProof -DomainName YourDomainName.com | Format-List Thumbprint,Proof

$Servers = Get-ExchangeServer; $Servers | foreach {Get-ExchangeCertificate -Server $_ | Where {$_.Services -match ‘Federation’}} | Format-List Identity,Thumbprint,Services,Subject

Son olarak, TXT kayıtları güncellendiğinde, aşağıdaki komutu kullanarak yeni yapılandırılmış federasyon sertifikasını yayınlayabilir ve etkinleştirebilirsiniz:

Set-FederationTrust -Identity "Federation" -PublishFederationCertificate 

TXT kayıtlarını güncelleme uyarısını tekrar göreceksiniz. Bunu zaten yaptığınız için görmezden gelin.

Yeni sertifikanın kullanılıp kullanılmadığını test etmek için aşağıdaki komutu çalıştırın:

Get-FederationTrust | Format-List *priv*  

Daha sonra federasyon güveninin çalıştığını şu komutu kullanarak doğrulayın:

Test-FederationTrust -UserIdentity <user's email address> 

Çıktı, federasyon güveninin mevcut olup olmadığını ve çalışıp çalışmadığını bildiren ayrıntıları görüntüler.

Eski/Süresi Dolmuş Federasyon Sertifikasını Kaldırın veya Silin

Eski veya süresi dolmuş federasyon sertifikasını kaldırmak veya silmek için, aşağıdaki komutu kullanarak eski sertifikanın parmak izini alın:

Get-ExchangeCertificate | Select Services,Thumbprint,NotAfter | ft –auto 

Çıktıda, Hizmetler sütununda ‘Federasyon’ hizmetini ve süresi dolan federasyon sertifikasını bulmak için NotAfter sütununda tarihi arayın. Parmak izini kopyalayın ve ardından eski sertifikayı kaldırmak için aşağıdaki komutu çalıştırın. Komutu her sunucu için ayrı ayrı çalıştırmalısınız.

Remove-ExchangeCertificate -Server “ServerName” -Thumbprint 5CD371B9ABA5F8CAF7FEC94BE369F686B25FBD0C -Confirm:$false

Daha sonra sertifikanın başarıyla kaldırıldığını doğrulamak için aşağıdaki komutu tekrar çalıştırın.

Get-ExchangeCertificate | Select Services,Thumbprint,NotAfter | ft –auto 

Eski/süresi dolmuş federasyon sertifikası kaldırıldığında, EAC’deki uyarı uyarıları düzeltilecek ve federasyon güveni çalışmaya devam edecektir.

Süresi dolmuş bir federasyon sertifikasını yenilemek, kimlik doğrulamanın karma Exchange ortamınızda sorunsuz bir şekilde çalışmasını sağlamak için kritik öneme sahiptir. Ancak, federasyon sertifikasını yeniledikten sonra, Federasyon Güveni ile ilişkili süresi dolmuş veya eski sertifika kaldırılmaz. Ayrıca, federasyon güven nesnesinden kaldırılamaz ve bu da Exchange Yönetim Merkezi’nde (EAC) federasyon sertifikasının süresi doldu veya dolmak üzere uyarılarına yol açabilir.

Kaynak: Microsoft.com