Dynamics CRM证书更换

　　Dynamics CRM产品一般有两种认证方式。第一种是基于声明的内部访问也就是无证书单纯用账号密码验证。第二种就是联合身份认证，需要安装网站证书。

　　对于联合身份认证的情况因为需要安装证书，而且证书是有一个一年的有效期，所以运维人员每年都需要进行证书更换的操作。以下就是更换证书的方法及过程。

证书根据申请方式一般也分两种，第一种是自建证书，这种证书是没有机构认证的所以安装上之后网站因为没有公网的认证会提示安全风险。第二种是公网证书，由网站运营者向证书颁发机构申请的证书，此证书安装好后网站不会有安全风险提示。

一、自建证书申请（使用公网证书可以忽略这一步）

打开CRM服务器的IIS，选择服务器证书双击进入

点击右侧的创建证书申请

填写证书的申请信息，点击下一步

加密服务提供程序选择默认，位长选2048

完成后会生成一个txt文件保存了证书申请信息需要选择一个路径

打开生成的文件可以看到证书的信息

进入到证书服务器，在证书服务器的浏览器中输入"http://机器名/certsrv"，输入服务器用户和密码之后，进入到证书申请界面，点击申请证书

选择"高级证书申请"

点击下图的链接

将证书信息复制到"保存的申请"，证书模板选择"Web 服务器"。点击"提交"。

提交之后点击证书下载就可以将服务器证书下载好了

下载完成之后，将证书另存为指定文件，这里命名为"CRMCert.cer"

证书下载成功之后，返回IIS服务器证书申请，点击"完成证书申请"

导入证书，给证书命名

选择新导入的证书，将证书导出为.pfx文件

指定将证书导出为.fpx的文件，填入证书的密码。点击"确定"购买的证书直接就是.fpx格式的

二、服务器证书更换

证书申请完成之后，需要为CRM应用程序池配置证书的访问权限，进入到MMC控制台。点击"文件"，选择"添加/删除管理单元"

选择"证书"，点击"添加"

在弹出框中，选择"计算机账户"，点击"下一步"

保持默认选项，点击"完成"，证书就会被添加到MMC控制台

点击"确定"

在"个人-证书"中，找到申请的证书，右击，选择"所有任务-管理私钥"

点击"添加"，将"NETWORK SERVICE"用户加入

进入ADFS服务器双击导出的.pfx文件进行证书安装。

打开AD FS管理器，替换服务器通信证书

三、更换服务器证书指纹

查看新证书指纹

服务器如果没有识别ADFS的话需要运行如下命令 ”Add-PSSnapin Microsoft.Adfs.PowerShell“

查看证书指纹 get-AdfsSslCertificate

按类型查看证书指纹， Get-AdfsCertificate 之后找到服务器通信证书

tips：获取单一类型的证书命令：

1、服务器通信证书：Get-AdfsCertificate –CertificateType Service-Communications

2、令牌签名证书：Get-AdfsCertificate –CertificateType token-signing

3、令牌解密证书：Get-AdfsCertificate –CertificateType token-decrypting

执行以下命令 Set-ADFSProperties -AutoCertificateRollover $false 设置自动续期为false

更换指纹 Set-AdfsSslCertificate-Thumbprint：XXXXXXXXXX 设置证书指纹

按照证书类别更新证书指纹：

1、Set-AdfsCertificate –CertificateType Service-Communications -Thumbprint  xxxxxxxxxxx 设置通信服务证书指纹

2、Set-AdfsCertificate –CertificateType token-signing -Thumbprint  xxxxxxxxxxx 设置令牌签名证书指纹

3、Set-AdfsCertificate –CertificateType token-decrypting -Thumbprint  xxxxxxxxxxx 设置令牌解密证书指纹

更换完证书要将Set-ADFSProperties -AutoCertificateRollover $true 设置自动续期为true

重启ADFS服务

重新部署一下CRM两个验证

弹出证书选择要选择新的证书