Jaa


[Português] O que devo fazer se receber um alerta no portal do Office 365 ou um E-mail a informar que os certificados da minha federação estão prestes a expirar

[Português]

Esta informação está normalmente relacionada com os Certificados, Token-Signing e Token-Decrypting.

De modo a ultrapassar esta situação, raramente necessita de executar qualquer procedimento suplementar. Por defeito, o seu ADFS está configurado para renovar automaticamente os Certificados. Apenas é necessário confirmar que as configurações são as adequadas e de acordo com o apresentado de seguida:

1) Abrir o Powershell
2) Get-ADFSProperties |fl AutoCertificateRollover

Se a informação apresentar “AutoCertificateRollover: True”, não é necessário executar qualquer procedimento adicional, os Certificados, Token-Signing e Token-Decrypting, serão renovados automaticamente. É possível ainda verificar essa situação através da informação contida em "NextTokenSigningCertificate" que contém qual o certificado que irá ser utilizado após a renovação estar concluida:

1) Abrir o Powershell
2) Connect-MsolService
3) Get-MsolFederationProperty
4) Verificar a informação do "NextTokenSigningCertificate" para o "ADFS Server" e para "Microsoft Office 365".

Por vezes, em raras ocasiões, após a renovação automatica dos certificados é também necessário atualizar essa informação do lado do Office 365. Para isso existem duas opções:

Opção a)
Verificar se a ferramenta de atualização automática da federação já foi instalada anteriormente. Isso é possível de confirmar através da existência da seguinte tarefa agendada:

Se essa tarefa não existir, indica que a ferramenta não foi instalada, mas pode ser, utilizado o seguinte script - Microsoft Office 365 Federation Metadata Update Automation Installation Tool - https://gallery.technet.microsoft.com/scriptcenter/Office-365-Federation-27410bdc.

Opção b)
Actualizar a federação manualmente (Apenas necessário uma vez)
1) Abrir o PowerShell
2) Connect-MsolService
3) Insert O365 Admin Credentials
4) Update-MsolFederatedDomain -DomainName yourdomain.name -SupportMultipleDomain

E assim fica concluído o processo.

Se por algum motivo o valor da renovação automática de certificados for falso, “AutoCertificateRollover: false”, deve ser consultado o seguinte artigo https://social.technet.microsoft.com/wiki/contents/articles/2554.ad-fs-2-0-how-to-replace-the-ssl-service-communications-token-signing-and-token-decrypting-certificates.aspx.

Notas:
Para saber mais sobre a configuração dos certificados em ADFS, consulte o artigo https://social.technet.microsoft.com/wiki/contents/articles/2554.ad-fs-2-0-how-to-replace-the-ssl-service-communications-token-signing-and-token-decrypting-certificates.aspx.

Para perceber a diferença existente entre a data de expiração apresentada no alerta e a data de expiração apresentada no certificado, consulte o seguinte artigo https://blogs.technet.com/b/tfg/archive/2014/04/21/token-signing-and-token-decrypt-certificates-expiration-process-and-dates.aspx.

Comments

  • Anonymous
    October 06, 2015
    O artigo em questão não indica como proceder caso este parâmetro "NextTokenSigningCertificate" esteja em branco.