Rinnovo del certificato di federazione
In questo argomento viene spiegato come aggiornare il certificato di federazione autofirmato utilizzato in un trust federativo:
Se il certificato di federazione non è scaduto, seguire i passaggi nella sezione Aggiornare un certificato di federazione funzionante.
Se il certificato di federazione è già scaduto, seguire la procedura descritta nella sezione Sostituire un certificato di federazione scaduto.
Nota
Per impostazione predefinita, dopo il rinnovo del certificato, il certificato scaduto associato all'attendibilità federativa non può essere rimosso dall'oggetto trust federativo.
Per ulteriori informazioni sulle relazioni di trust federativo e sulla federazione, vedere Federazione.
Che cosa è necessario sapere prima di iniziare?
Tempo stimato per il completamento: 10 minuti.
Devi disporre delle autorizzazioni per poter eseguire queste procedure. Per visualizzare le autorizzazioni necessarie, vedere la voce "Federazione e certificati" nell'argomento Autorizzazioni dell'infrastruttura di Exchange e Shell .
Le procedure descritte in questo argomento utilizzano Exchange Management Shell. Per sapere come aprire Exchange Management Shell nell'organizzazione Exchange locale, vedere Open the Shell.
Per verificare se il certificato di federazione esistente è scaduto, eseguire il comando in Exchange Management Shell:
Get-ExchangeCertificate -Thumbprint (Get-FederationTrust).OrgCertificate.Thumbprint | Format-Table -Auto Thumbprint,NotAfter
Per informazioni sui tasti di scelta rapida che è possibile utilizzare con le procedure in questo argomento, vedere Tasti di scelta rapida nell'interfaccia di amministrazione di Exchange.
Avviso
Problemi? È possibile richiedere supporto nei forum di Exchange. Visitare i forum all'indirizzo Exchange Server.
Aggiornare un certificato di federazione funzionante
Se il certificato di federazione non è scaduto, è possibile aggiornare la relazione di trust federativa esistente con un nuovo certificato di federazione.
Passaggio 1: creare un nuovo certificato di federazione
Eseguire il comando seguente in Exchange Management Shell per creare un nuovo certificato di federazione:
$SKI = [System.Guid]::NewGuid().ToString("N"); New-ExchangeCertificate -DomainName 'Federation' -FriendlyName "Exchange Delegation Federation" -Services Federation -SubjectKeyIdentifier $SKI -PrivateKeyExportable $true
Per ulteriori informazioni sulla sintassi e sui parametri, vedere New-ExchangeCertificate.
L'output del comando contiene il valore di identificazione personale del nuovo certificato. Questo valore è necessario nei passaggi rimanenti ed è possibile copiare il valore direttamente dalla finestra Exchange Management Shell:
Fare clic in qualsiasi punto della finestra Exchange Management Shell e selezionare Contrassegna nella finestra di dialogo che viene visualizzata.
Selezionare il valore di identificazione personale, quindi premere INVIO.
Per le altre procedure descritte in questo argomento, verrà usato il valore dell'identificazione personale del certificato federativo: 6A99CED2E4F2B5BE96C5D17D662D217EF58B8F73
. Il valore di identificazione personale del certificato del certificato sarà differente.
Passaggio 2: configurare il nuovo certificato come certificato di federazione
Per utilizzare Exchange Management Shell per configurare il nuovo certificato come certificato di federazione, utilizzare la sintassi seguente:
Set-FederationTrust -Identity "Microsoft Federation Gateway" -Thumbprint <Thumbprint> -RefreshMetaData
In questo esempio viene utilizzato il valore 6A99CED2E4F2B5BE96C5D17D662D217EF58B8F73
di identificazione personale del certificato del passaggio 1.
Set-FederationTrust -Identity "Microsoft Federation Gateway" -Thumbprint 6A99CED2E4F2B5BE96C5D17D662D217EF58B8F73 -RefreshMetaData
Per informazioni dettagliate sulla sintassi e sui parametri, vedere Set-FederationTrust.
Nota: L'output del comando contiene un avviso che indica che è necessario aggiornare il record TXT di verifica della proprietà del dominio in DNS. Questa operazione viene effettuata nel prossimo passaggio.
Passaggio 3: aggiornare la prova di federazione del record TXT relativo alla proprietà del dominio in DNS
È possibile eseguire in modo sicuro questo passaggio, dal momento che la prova del record TXT relativa alla proprietà del dominio viene verificata durante l'attivazione (passaggio 5). Tuttavia, dopo aver aggiornato il record TXT e prima di continuare con il passaggio successivo, è necessario dedicare del tempo all'upload del record TXT per propagare (in base alla durata o al valore TTL del record DNS).
Trovare i valori richiesti per ogni record TXT necessario eseguendo il comando seguente in Exchange Management Shell:
Get-FederatedDomainProof -DomainName <Domain> | Format-List Thumbprint,Proof
Ad esempio, se il dominio federato è contoso.com, eseguire il comando seguente:
Get-FederatedDomainProof -DomainName contoso.com | Format-List Thumbprint,Proof
L'output del comando avrà questo aspetto:
Thumbprint : <new certificate thumbprint> (for example, 6A99CED2E4F2B5BE96C5D17D662D217EF58B8F73) Proof : <new hash text> (for example, znMfbkgSbOQSsWFdsW+gm3to0nZSdE3zbcPPHGVAqdgsLFGsCPuLHiyVbKoPmgyZKX90NH2g1PbCZH0YTQF6oA==) Thumbprint : <old certificate thumbprint> (for example, CC9BC204BB4DC60D06FC1F10F3C373DC785DA2A5) Proof : <old hash text> (for example, m4gZX7OLr9iOWYJMVjEklQpoSkPb5hSbcFjD7Q3/vsqmdJ2Z+HcSt7j5pzBKFmEW2s27JYr3xsK2POzAI/8Ffw==)
Tenere presente che l'output del comando restituisce informazioni per due record di attestazione della proprietà del dominio: uno per il nuovo certificato e uno per il certificato corrente in fase di sostituzione. È possibile distinguerli tramite il valore di identificazione personale e dal valore del testo hash configurato nell'attuale record TXT di attestazione della proprietà del dominio nel DNS esterno (pubblico).
Aggiornare la prova di federazione del record TXT relativo alla proprietà del dominio in DNS. Le istruzioni variano in base al provider DNS, ma è possibile modificare il record TXT corrente al fine di sostituire il valore di testo hash attuale con quello nuovo. Per ulteriori informazioni, vedere la sezione Exchange Online nell'articolo Record DNS (Domain Name System) esterni per Office 365.
Passaggio 4: verificare la distribuzione del nuovo certificato di federazione su tutti i server di Exchange
Exchange distribuisce automaticamente il nuovo certificato di federazione su tutti i server, ma è necessario verificare la distribuzione prima di procedere.
Per utilizzare Exchange Management Shell al fine di verificare la distribuzione del nuovo certificato di federazione, eseguire il comando seguente:
$Servers = Get-ExchangeServer; $Servers | foreach {Get-ExchangeCertificate -Server $_ | Where {$_.Services -match 'Federation'}} | Format-List Identity,Thumbprint,Services,Subject
Nota: In Exchange 2010 l'output del cmdlet Test-FederationCertificate contiene nomi di server. L'output del cmdlet in Exchange 2013 o nelle versione successive non include i nomi dei server.
Passaggio 5: attivare il nuovo certificato di federazione
Per utilizzare Exchange Management Shell al fine di attivare il nuovo certificato di federazione, eseguire il comando seguente:
Set-FederationTrust -Identity "Microsoft Federation Gateway" -PublishFederationCertificate
Per informazioni dettagliate sulla sintassi e sui parametri, vedere Set-FederationTrust.
Nota: L'output del comando contiene un avviso che indica che è necessario aggiornare il record TXT di verifica della proprietà del dominio in DNS (già eseguito nel passaggio 3).
Come verificare se l'operazione ha avuto esito positivo
Per verificare che la relazione di trust federativa esistente sia stata aggiornata correttamente, utilizzare i passaggi seguenti:
In Exchange Management Shell, eseguire il comando riportato di seguito per verificare che venga usato il nuovo certificato:
Get-FederationTrust | Format-List *priv*
La proprietà OrgPrivCertificate deve includere l'identificazione personale del nuovo certificato di federazione.
La proprietà OrgPrevPrivCertificate deve includere l'identificazione personale del precedente (sostituito) certificato di federazione.
In Exchange Management Shell sostituire <l'indirizzo> di posta elettronica dell'utente con l'indirizzo di posta elettronica di un utente nell'organizzazione ed eseguire il comando seguente per verificare che l'attendibilità federativa funzioni:
Test-FederationTrust -UserIdentity <user's email address>
Sostituire un certificato di federazione scaduto
Se il certificato di federazione è già scaduto, è necessario rimuovere tutti i domini federati dalla relazione di trust federativa, quindi rimuovere e creare di nuovo la relazione di trust federativa.
Se si dispongono più domini federati, è necessario identificare il dominio condiviso principale in modo da rimuoverlo per ultimo. Per utilizzare Exchange Management Shell al fine di identificare il dominio federato principale e tutti i domini federati, eseguire il comando seguente:
Get-FederatedOrganizationIdentifier | Format-List AccountNamespace,Domains
Il valore della proprietà AccountNamespace contiene il dominio condiviso primario nel formato
FYDIBOHF25SPDLT<primary shared domain>
. Ad esempio, nel valoreFYDIBOHF25SPDLT.contoso.com
contoso.com è il dominio condiviso primario.Rimuovere ogni dominio federato che non è nel dominio condiviso principale eseguendo il comando seguente in Exchange Management Shell:
Remove-FederatedDomain -DomainName <domain> -Force
Dopo aver rimosso tutti gli altri domini federati, eliminare il dominio condiviso principale eseguendo il comando seguente in Exchange Management Shell:
Remove-FederatedDomain -DomainName <domain> -Force
Rimuovere la relazione di trust federativa eseguendo il comando seguente in Exchange Management Shell:
Remove-FederationTrust "Microsoft Federation Gateway"
Creare di nuovo la relazione di trust federativa. Per istruzioni, vedere Configurare un trust federativo.