Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Por: Cesar Hara
Em algum momento iremos nos deparar com o alerta abaixo apresentado pelo portal do Office 365:
O intuito deste artigo é explicar como o cálculo é realizado quando o certificado de Token Signing e consequentemente, Token decrypting estão prestes a expirar.
Antes precisamos entender algumas propriedades do ADFS, ao executar o comando “Get-AdfsProperties” a partir de um servidor ADFS, essas propriedades são exibidas:
AutoCertificateRollover: Controla se a renovação dos certificado ocorre de maneira automática, padrão é True.
CertificateGenerationThreshold: Número de dias em que o novo certificado primário será gerado antes da expiração do certificado primário/atual, padrão é 20 dias.
CertificatePromotionThreshold: Número de dias em que o novo certificado ficará como secundário antes de ser efetivamente configurado para primário, padrão é 5 dias.
Após entender esses atributos, vou utilizar o meu laboratório como exemplo, segue imagem dos certificados atuais e data de expiração:
A data em que a imagem do alerta foi vista é de 23/02/2016 e mostra que temos 6 dias para resolver a renovação dos certificados e atualizar o federation metadata.
Com base nesse alerta e a data em que o mesmo foi visto, a data de expiração dos certificados deveria ser 29/02/2016 porém o certificado expira somente dia 15/03/2016. Este cenário que gera muitas dúvidas, então vamos entender como esse cálculo funciona.
De acordo com o atributo CertificateGenerationThreshold, o novo certificado deve ser gerado 20 dias antes da data de expiração, nesse caso a data de expiração é 15/03/2016, e 20 dias antes dessa data, será dia 24/02/2016.
Lembram do atributo CertificatePromotionThreshold? Este atributo manterá o novo certificado como secundário por 5 dias, por tanto dia 29/02/2016 é a data que a renovação deve ocorrer e por esse motivo o portal do Office 365 gera o alerta.
Para facilitar, o seguinte cálculo deve ser feito:
Data de expiração do certificado - 20 dias = Data do novo certificado
Data do novo certificado + 5 dias = Dia que deverá ocorrer a troca
No nosso exemplo:
15/03/2016 – 20 dias = 24/02/2016
24/02/2016 + 5 dias = 29/02/2016
Resumindo, após entender o cálculo podemos observar que o alerta sempre indicará que a renovação e atualização do federation metadata seja feita 15 dias antes da data de expiração efetiva dos certificados.
15/03/2016 – 15 dias = 29/02/2016