반응형

ADFS 에서 Token-decrypting Token-signing 인증서는 기본 설정은 1년간 유효하며 AutoCertificateRollover 설정으로 인하여 자동 갱신되는 방식입니다.

인증서 만료일 기본값

방식이 이상적인 것처럼 보이지만, Token-Signing 인증서의 경우에는 다른 3rd Party에서 사용될 있기 때문에 같이 갱신해야 한다는 번거로움이 있습니다. 연계된 시스템이 많다면, 기간을 연장시키는 것을 고려할 있습니다.

 

다음과 같이 명령어로 연장할 있습니다.

#인증서 기간 변경 (ex. 10년 = 3650일)
Set-ADFSProperties -CertificateDuration 3650

#Token-Decrypting 업데이트
Update-AdfsCertificate -CertificateType Token-Decrypting -Urgent

#Token-Signing 업데이트
Update-AdfsCertificate -CertificateType Token-Signing -Urgent

#Disable AutoCertificateRollover $false
Set-ADFSProperties -AutoCertificateRollover $false

인증서 유효기간 변경
명령어 적용

 

사내에 보안 기준이 별도로 없다면, Token 인증서의 기간을 늘리는 것이 관리 측면에서는 편리할 것으로 보입니다.

 

Set-AdfsProperties -CertificateDuration (ADFS) | Microsoft Learn

Specifies the period of time, in days, that any certificates that the Federation Service generates remain valid.
 페더레이션 서비스에서 생성하는 모든 인증서가 유효한 상태로 유지되는 기간(일)을 지정합니다.
Update-AdfsCertificate (ADFS) | Microsoft Learn

The Update-AdfsCertificate cmdlet creates new certificates for Active Directory Federation Services (AD FS). When automatic certificate rollover is enabled and AD FS is managing the certificates that are used for signing, this update cmdlet can be used to initiate a rollover.

Update-AdfsCertificate cmdlet은 AD FS(Active Directory Federation Services)에 대한 새 인증서를 만듭니다. 자동 인증서 롤오버를 사용하도록 설정하고 AD FS에서 서명에 사용되는 인증서를 관리하는 경우 이 업데이트 cmdlet을 사용하여 롤오버를 시작할 수 있습니다.

-CertificateType
Specifies the type of certificate to rollover. The acceptable values for this parameter are:
롤오버할 인증서의 유형을 지정합니다. 이 매개 변수에 사용할 수 있는 값은 다음과 같습니다.
a. Token-Decrypting
b. Token-Signing

-Urgent
Indicates that the certificate rollover should happen immediately. An urgent rollover removes older certificates immediately. It might result in a service outage as trusts update to use the new certificates.
인증서 롤오버가 즉시 발생해야 함을 나타냅니다. 긴급 롤오버는 이전 인증서를 즉시 제거합니다. 트러스트가 새 인증서를 사용하도록 업데이트됨에 따라 서비스가 중단될 수 있습니다.
Set-AdfsProperties -AutoCertificateRollover (ADFS) | Microsoft Learn

Indicates whether the system manages certificates for the administrator and generates new certificates before the expiration date of current certificates. By default, this setting is enabled for a new instance of AD FS.
시스템에서 관리자의 인증서를 관리하고 현재 인증서의 만료 날짜 전에 새 인증서를 생성하는지 여부를 나타냅니다. 기본적으로 이 설정은 AD FS의 새 인스턴스에 대해 사용하도록 설정됩니다.
반응형

+ Recent posts