CLR/H Tokyo #6のLightning Talkの内容です。 Windows Server 2012 R2の

1. CLR/H Tokyo #6 Lightning Talk
ADFSの証明書入れ替えではまった話
Windows Server 2012 R2編
Microsoft MVP for Office 365
渡辺元気

2. そろそろSSL証明書を更新なので入れ替えよう
Windows Server 2008 R2と大して変わらないだろ

3. まずはCSRの作成

4. さて、IIS立ち上げて・・・

5. あ、IISないんだった

6. いやいや、あせらず男は黙ってmakecert

7. あ

8. （・・・別のIISで作りました）

9. 証明書できた。よし、インポート

10. 続いてADFSの管理ツール・・・

11. いや、ちょっと待て。
確か某カリスマトレーナーのページで見たぞ。

12. そうだ、秘密鍵のアクセス権限だ
ふふん、それくらい想定済みだぜ

13. MMC - 証明書で[秘密キーの管理]だったよな

15. これでADFSのサービスアカウントに
読み取り権限だったよな

16. あれ？ そういえば2012R2だからgMSA
なんだよな。アカウントなんだっけ？
既存見てコピればいっか。

17. ほぅ
adfssrvとdrsか

18. 名前の確認
無い…

19. あ、そうか、ローカルアカウントか！

20. やっぱ無い…

21. （・・・必死にぐぐびんぐること3分）

22. 見つけた

23. nt serviceadfssrv
nt servicedrs
だそうな・・・。

24. やっとインポートできた

25. やっとADFSの管理だ

26. [サービス][証明書]から
サービス通信証明書の設定

27. もちろん、ちゃんとやってるよん。

28. 動作確認

29. よしよし、今まで通り

30. 何もかも今まで通り
ん？

31. そう、SSL証明書も！

32. ADFSサービス再起動・・・効果無し
OS再起動・・・効果無し

33. う～ん、上手くバインドできてないのか
IIS見てみるか

34. あ、IISないんだった（2回目）

35. どこでバインド管理してるんだっけ…。
何か設定した覚えがあるなぁ。
そうだ、KB2973873だ。

36. 確かにthumbprint変わってない。

37. netsh
HTTP
DELETE SSLCert IPPORT=0.0.0.0:443
SETコマンドは無いので
消して同じ設定で再作成
ADD SSLCert IPPORT=0.0.0.0:443 Certhash=新しい証明書のThumbprint Appid={5d89a20c-beab-4389-9447-
324788eb944a}
DELETE SSLCert HOSTNAMEPORT=sts.contoso.com:443
ADD SSLCert HOSTNAMEPORT=sts.contoso.com:443 Certhash=新しい証明書のThumbprint
Appid={5d89a20c-beab-4389-9447-324788eb944a} certstorename=MY sslctlstorename=AdfsTrustedDevices
DELETE SSLCert HOSTNAMEPORT=sts.contoso.com:49443
ADD SSLCert HOSTNAMEPORT=sts.contoso.com:49443 Certhash=新しい証明書のThumbprint
Appid={5d89a20c-beab-4389-9447-324788eb944a} certstorename=MY clientcertnegotiation=Enable

38. これでやっとADFS 1台完了
これをADFSファーム内で繰り返し

39. WAPの方も更新

40. 予想通り、SSL証明書切り替わらず
（こちらはイベントログ記録あり）
・・・

41. 全WAPサーバでnetshで削除～追加を
繰り返し・・・

42. ようやく
完了！

43. 結論

44. ○慣れていないと非常に面倒
○後でもう一度検証してblogにまとめておきます