关注本人微信和易信公众号: 微软动态CRM专家罗勇 ,回复259或者20170704可方便获取本文,同时可以在第一间得到我发布的最新的博文信息,follow me!我的网站是 www.luoyong.me 。
从某个时间开始,用Chrome浏览器访问我自己做了IFD的Dynamics 365环境出现如此问题,地址栏的SSL证书标记为不安全,展示内容是警告标记,大字体显示你的连接不是私密链接。
当然,点击高级链接以后,再点击 继续前往demo.luoyong.me (不安全) 是可以继续访问。
我这个Chrome的版本是 版本 59.0.3071.115(正式版本) (64 位),如果你使用较低版本的Chrome是没有这个问题的,当然使用IE浏览器或者Microsoft Edge浏览器也没有问题。
BUT,做了IFD登录的Dynamics 365登录需要跳转好几次,每次都要这么繁琐操作下,多少有些不能忍。点击SSL证书错误下的 了解详情,出来的网址是Google的:https://support.google.com/chrome/?p=ui_security_indicator ,祖国大陆不能访问,你懂得。我找到了另外一篇文章: Google Chrome SSL Certificate Errors and Troubleshoot Guide 。
说是你的站点连接如果是1024位加密或者是用SHA-1加密那么就会被提示是不安全的连接,SO,我们来更换证书符合要求,Follow Me。
先截图显示我这个有问题的证书信息如下:
然后我使用管理员身份打开PowerShell,先使用命令 $PSVersionTable.PSVersion 查看版本,Major版本应该要求大于等于5。若版本太低,请升级PowerShell。
然后生成一个新证书,命令是:New-SelfSignedCertificate -DnsName "*.luoyong.me" -Provider "Microsoft Enhanced Cryptographic Provider v1.0" -KeyAlgorithm RSA -KeyLength 2048 -CertStoreLocation "cert:LocalMachineMy" -NotAfter (Get-Date).AddMonths(36)
命令执行后,输入命令mmc打开证书控制台可以看到新建的证书如下,然后右击该证书,将该证书导出来,注意导出证书的时候需要导出私钥,再导入到服务器上的 个人>证书位置。
导入以后记得要对把这个证书的相关读取权限授予给相关账号,主要是运行CRM网站应用程序池的账号。
还需要将证书导出,注意这次证书不要导出私钥,然后导入到服务器的 受信任的根证书颁发机构。
现在我就可以更改IIS站点和AD FS使用的证书了,我先更改IIS使用的证书,打开IIS,选择Microsoft Dynamics CRM站点,更换其SSL证书为新生成的证书。然后建议重启IIS。
然后我们打开 AD FS管理器,导航到 服务>证书,点击右边的 设置服务通信证书 连接,更换为新生成的证书。
然后利用类似的方法更新添加令牌签名证书和添加令牌解密证书,在执行这个操作之前先用PowerShell执行命令 Set-ADFSProperties -AutoCertificateRollover $false 。
更换完毕后需要将新证书设置为主证书,我这里还删除了以前的证书,估计这个步骤可以不做。
还必须更新下CRM相关的两个信赖方信任,确保不会报错。
还需要使用管理员身份使用PowerShell执行先命令
dir cert:LocalMachineMy
查看到自己新创建证书的Thumbprint ,然后执行如下命令,执行完毕后重启AD FS服务。
Set-AdfsSslCertificate -Thumbprint 54EBD408A83FD25573D2C5744F32C120575FF288
最好还通过 netsh http show sslcert 命令看下新的SSL证书是否绑定到对应的AD FS监控端口上。
还需要打开Dynamics 365部署管理器,配置基于声明的身份验证,第二步选择证书的时候选择新导入的证书。全部动作完成后最好重启下IIS。
看看效果,在 59.0.3071.115(正式版本) (64 位)的Chrome效果如下,没有证书错误了:
