为实施了IFD的Dynamics 365更换自签名的SSL证书以符合Chrome的要求

关注本人微信和易信公众号： 微软动态CRM专家罗勇 ，回复259或者20170704可方便获取本文，同时可以在第一间得到我发布的最新的博文信息，follow me！我的网站是 www.luoyong.me 。

从某个时间开始，用Chrome浏览器访问我自己做了IFD的Dynamics 365环境出现如此问题，地址栏的SSL证书标记为不安全，展示内容是警告标记，大字体显示你的连接不是私密链接。

当然，点击高级链接以后，再点击 继续前往demo.luoyong.me (不安全) 是可以继续访问。

我这个Chrome的版本是 版本 59.0.3071.115（正式版本） （64 位），如果你使用较低版本的Chrome是没有这个问题的，当然使用IE浏览器或者Microsoft Edge浏览器也没有问题。

BUT，做了IFD登录的Dynamics 365登录需要跳转好几次，每次都要这么繁琐操作下，多少有些不能忍。点击SSL证书错误下的 了解详情，出来的网址是Google的：https://support.google.com/chrome/?p=ui_security_indicator ，祖国大陆不能访问，你懂得。我找到了另外一篇文章： Google Chrome SSL Certificate Errors and Troubleshoot Guide 。

说是你的站点连接如果是128位加密或者是用SHA-1加密那么就会被提示是不安全的连接，SO，我们来更换证书符合要求，Follow Me。

先截图显示我这个有问题的证书信息如下：

然后我使用管理员身份打开PowerShell，先使用命令 $PSVersionTable.PSVersion 查看版本，Major版本应该要求大于等于5。若版本太低，请升级PowerShell。

然后生成一个新证书，命令是：New-SelfSignedCertificate -DnsName "*.luoyong.me" -Provider "Microsoft Enhanced Cryptographic Provider v1.0" -KeyAlgorithm RSA -KeyLength 2048 -CertStoreLocation "cert:\LocalMachine\My"

命令执行后，输入命令mmc打开证书控制台可以看到新建的证书如下，然后右击该证书，将该证书导出来，注意导出证书的时候需要导出私钥，再导入到服务器上的 个人>证书位置。

导入以后记得要对把这个证书的相关读取权限授予给相关账号，主要是运行CRM网站应用程序池的账号。

还需要将证书导出，注意这次证书不要导出私钥，然后导入到服务器的 受信任的根证书颁发机构。

现在我就可以更改IIS站点和AD FS使用的证书了，我先更改IIS使用的证书，打开IIS，选择Microsoft Dynamics CRM站点，更换其SSL证书为新生成的证书。然后建议重启IIS。

然后我们打开 AD FS管理器，导航到 服务>证书，点击右边的 设置服务通信证书 连接，更换为新生成的证书。

然后利用类似的方法更新添加令牌签名证书和添加令牌解密证书，在执行这个操作之前先用PowerShell执行命令 Set-ADFSProperties -AutoCertificateRollover $false 。

更换完毕后需要将新证书设置为主证书，我这里还删除了以前的证书，估计这个步骤可以不做。

最好更新下CRM相关的两个信赖方信任，确保不会报错。

还需要使用管理员身份使用PowerShell执行先命令

dir cert:\LocalMachine\My

查看到自己新创建证书的Thumbprint ，然后执行如下命令，执行完毕后重启AD FS服务。
Set-AdfsSslCertificate -Thumbprint 54EBD408A83FD25573D2C5744F32C120575FF288

还需要打开Dynamics 365部署管理器，配置基于声明的身份验证，第二步选择证书的时候选择新导入的证书。全部动作完成后最好重启下IIS。

看看效果，在 59.0.3071.115（正式版本） （64 位）的Chrome效果如下，没有证书错误了：