S obzirom na to da je certifikat potrebno istodobno zamijeniti i na strani servisa Office 365, i na strani sustava AAI@EduHr, vrlo je važno administrator Office 365 usluge obavi sve korake iz ovih uputa. Također, poželjno je da administrator usluge korisnicima najavi kratkotrajni prekid u radu usluge tijekom dogovorenog razdoblja.
Procedura zamjene certifikata sastoji se od sljedećih koraka:
1. Administrator Office 365 usluge treba dohvatiti novi certifikat s adrese:
https://login.aaiedu.hr/office365/module.php/saml/idp/certs.php/new_idp.crt
i pohraniti ga negdje na svom računalu, npr. u direktorij C:\Users\korisnik\Downloads\
2. Koristeći Windows PowerShell administrator se naredbom:
connect-msolservice
treba prijaviti u Windows Azure / Office 365 administrativno sučelje. VAŽNO: Za prijavu u PowerShell konzolu OBAVEZNO trebate koristiti korisnički račun oblika proizvoljna_kor_oznaka@nekadomena.onmicrosoft.com. Ni u kom slučaju korisnički račun oblika jednakog vašem elektroničkom identitetu iz sustava AAI@EduHr!!! Nakon prijave, kroz PowerShell konzolu potrebno je izvršiti sljedeće naredbe (pritom umjesto domena.hr treba unijeti LDAP domenu matične ustanove, a umjesto teksta C:\Users\korisnik\Downloads\new_idp.crt unijeti putanju do certifikata kojeg ste preuzeli na svoje računalo u koraku prije):
$dom = "domena.hr"
set-msoldomainauthentication -authentication Managed -domainname $dom
$fedbrandname = "AAI@EduHr"
$url = "https://login.aaiedu.hr/office365/saml2/idp/SSOService.php?entityID=https://login.aaiedu.hr/office365/"+$dom
$uri = "https://login.aaiedu.hr/office365/"+$dom
$logouturl = "https://login.aaiedu.hr/office365/saml2/idp/SingleLogoutService.php?ReturnTo=https://login.aaiedu.hr/office365/logout.php"
$cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("C:\Users\korisnik\Downloads\new_idp.crt")
$certdata = [system.convert]::tobase64string($cert.rawdata)
set-msoldomainauthentication -domainname $dom -federationbrandname $fedbrandname -authentication Federated -passivelogonuri $url -signingcertificate $certdata -issueruri $uri -logoffuri $logouturl -preferredauthenticationprotocol SAMLP
3. U sučelju registra resursa na adresi https://registar.aaiedu.hr evidentirati da resurs usluge Office365 vaše ustanove koristi novi certifikat.
Administrator resursa Office365 treba u Registru resursa otvoriti karticu "SAML konfiguracija" i potražiti redak IdpCertFile. U ovom retku nalazi se naziv datoteke certifikata koji je trenutačno označen kao aktivan. Za promjenu stanja kliknite na poveznicu "Ažuriraj":
Napomena: ovaj redak je vidljiv samo u resursima povezanim s globalnom uslugom Office365 i nad čijim SAML modulom nije trenutačno postavljen nikakav zahtjev za ažuriranjem.
Na stranici za odabir certifikata ispisani su podaci iz resursa usluge i podaci o certifikatu koji je trenutačno označen kao aktivan:
Da biste stari certifikat zamijenili novim, potrebno je kliknuti gumb "Odaberite certifikat:" tako da prikazuje stanje "Novi", a zatim kliknuti gumb "Spremi promjene":
Promjene će se prikazati u tablici "Podaci o aktivnom certifikatu":
Ako dođe do potrebe za privremeni povratak na stari certifikat, možete ga vratiti preko istog sučelja. Uzmite u obzir da treba pričekati 5-10 minuta da bi SSO servis počeo koristiti novoodabrani certifikat za komunikaciju s uslugom Office365.
U slučaju bilo kakvih problema, dodatnih pitanja ili nejasnoća kontaktirajte nas na adresu aai@srce.hr
