ADFSを使用したIdP環境の場合、Azure側の証明書更新は
Update-MsolFederatedDomainを使ったりするのですが、
Office 365 および Azure Active Directory 用のフェデレーション証明書の更新ShibbolethなどのADFSではないIdP環境では、上記コマンドを実行してもエラーとなります。
https://docs.microsoft.com/ja-jp/azure/active-directory/connect/active-directory-aadconnect-o365-certs
Get-MsolFederationPropertyを実行しても、ADFSが存在しないためエラーとして返されます。
これは、Update-MsolFederatedDomainコマンドなどは、
ADFSと連携していることが前提のため、AzureAD側のみ設定、という動作ができないためです。
日々徒然 Set-MsolDomainAuthentocation
http://blog.o365mvp.com/2013/04/05/set-msoldomainauthentocation/
AzureAD上のみ証明書を更新する際は、Set-MsolDomainFederationSettings コマンドを使用します。
#AzureへPowerShellで接続後、実行
#証明書データ読み込み
$cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("更新用CER証明書")
$certData = [system.convert]::tobase64string($cert.rawdata)
#IdP 側が使用する証明書を更新する数日前 (最低でも 2 時間前) までに セカンダリ トークン署名証明書として以下コマンドを実行し登録。
Set-MsolDomainFederationSettings –DomainName 対象ドメイン名 -NextSigningCertificate $certData -PreferredAuthenticationProtocol SAMLP
#IdP 側が使用する証明書を更新した後、プライマリ証明書として以下コマンドを実行し、登録 Set-MsolDomainFederationSettings -DomainName 対象ドメイン名 -SigningCertificate $certData -PreferredAuthenticationProtocol SAMLP
事前にセカンダリ証明書として登録しておくことで、サービス停止することなく証明書更新が行われます。
ちなみに、IdP証明書の猶予期限が切れる二週間ほど前までに、証明書を更新しないとサービスが使えなくなる旨のメッセージがAzureから通知されてきますが、
IdP証明書の猶予期限までは、問題なく使えるようです。
スポンサーリンク