Um im ADFS 3.0 ein Zertifikat zu erneuern, muss folgendes getan werden:
- Über MMC das neue Zertifikat importieren – ACHTUNG: Es sollte ein Zertifikat mit Private Keys sein
- Über All Tasks -> Manage Private Keys… folgende Berechtigungen hinzufügen:
[Service-Account] – READ
NT SERVICE\adfssrv – READ
NT SERVICE\drs – READ - Über das ADFS Management -> Service -> Certificates das neue Zertifikat einspielen. Dies geht über Set Service Communications Certificate.
Sollte das Zertifikat hier nicht auftauchen, so hat es entweder keine Private Keys oder die Berechtigungen fehlen. - Folgenden PowerShell-Befehl absetzen um den Thumbprint des neuen Zertifikats herauszufinden:
Get-ChildItem Cert: -Recurse | ? { $_ -is [System.Security.Cryptography.X509Certificates.X509Certificate2] } - Anschließend diesen Befehl absetzen, um das alte Zertifikat durch das neue zu ersetzen:
Import-Module ADFS Set-AdfsSslCertificate -Thumbprint [Thumbprint des neuen Zertifikats]